我坚持要在CentOS 7中获得两个因素authentication; 特别是通过SSH和OTP进行身份validation。 如果有人能帮助我,我将非常感激。 🙂 编辑:据我所知,从下面的日志,pam模块要求RADIUS服务器进行身份validation,服务器响应与代码11,以便pam模块质询用户的OTP,而是模块只是说“身份validation失败” 。 所以客户应该是这个问题吧? 这里是一个通过SSH帐号“[email protected]”login的日志: sshd[3652]: pam_radius_auth: Got user name [email protected] sshd[3652]: pam_radius_auth: ignore last_pass, force_prompt set sshd[3652]: pam_radius_auth: Sending RADIUS request code 1 sshd[3652]: pam_radius_auth: DEBUG: getservbyname(radius, udp) returned 0x7fa56490e1c0. sshd[3652]: pam_radius_auth: Got RADIUS response code 11 sshd[3652]: pam_radius_auth: authentication failed sshd[3652]: pam_sepermit(sshd:auth): Parsing config file: /etc/security/sepermit.conf sshd[3652]: pam_sepermit(sshd:auth): Enforcing […]
我正在尝试在RHEL7的FreeRADIUS中实现google authenticator PAM模块。 我松散地遵循了这个指南: http : //www.supertechguy.com/help/security/freeradius-google-auth 我之所以说松散的原因是最近Google模块的内容似乎已经发生了变化,所以我通过执行以下步骤来构build它: sudo yum -y install freeradius freeradius-utils git gcc pam-devel qrencode qrencode-libs qrencode-devel git autoconf automake libtool freeradius-mysql git clone https://github.com/google/google-authenticator-libpam Cd google-authenticator-libpam sudo ./bootstrap.sh ./configure make sudo make install 这一切工作正常。 然后我使用指南configuration了configuration文件。 我的/etc/pam.d/radiusd文件如下所示: #%PAM-1.0 #auth include password-auth #account required pam_nologin.so #account include password-auth #password include password-auth #session include […]
环境: 〜Prod IPA注册的400台服务器 Prod IPA设置为两台服务器之间的主/主复制 昨天下午4:40左右,用户开始报告无法通过SSHlogin服务器。 系统pipe理员可以通过sshkeylogin。 客户端日志只说“身份validation失败,密码无效”或“无法validation” 对于用户和主机,IPA服务器日志除了类似于以下内容的行外没有提供任何内容: Sep 28 17:51:24 hostname123 krb5kdc[2134](info): AS_REQ (4 etypes {18 17 16 23}) 192.111.1.111: NEEDED_PREAUTH: host/[email protected] for krbtgt/[email protected], Additional pre-authentication required 我们在两台机器上都重新启动了IPA,重新启动了虚拟机等,没有修复。 唯一的解决办法是进入每个客户机和sss_cache -E;rm -rf /var/lib/sss/db/*; 在这个用户能够通过puTTylogin后。 任何人都有类似的问题? 我们几年前build立这个系统的主要系统pipe理员已经不在我们这里,这是我们的第一个主要问题。 注意:此时,所有IPA命令也停止在IPA服务器上工作。 例: ipa user-show xxxx(“ipa:ERROR:无法连接到Gettext('任何configuration的服务器',domain ='ipa',localedir = None)
我想创build一个pam.dconfiguration文件来testing用户有一个帐户,但不会testing密码。 我应该怎么做呢? 我试过使用nullok,但我一直无法得到它的工作。 我不确定这个问题,但我正在尝试使用JPam,这是一个使用本地库调用RH5.2主机上的pam的Java API。 我对帕姆完全陌生。
我有ldap的问题,当它在线,我login用户/从LDAP数据库传递,然后不能su本地通过根。 当我关掉离线LDAP时,我可以用本地用户/密码login,用本地密码sulogin。 auth.log: Sep 27 12:18:33 intranet sshd[18321]: pam_unix(sshd:session): session opened for user mejmo by (uid=0) Sep 27 12:18:39 intranet unix_chkpwd[18340]: check pass; user unknown Sep 27 12:18:39 intranet unix_chkpwd[18340]: password check failed for user (root) Sep 27 12:18:39 intranet su[18339]: pam_unix(su:auth): authentication failure; logname=mejmo uid=10009 euid=10009 tty=/dev/pts/1 ruser=mejmo rhost= user=r Sep 27 12:18:42 intranet […]
我正在尝试设置libnss-mysql和libpam-mysql 。 到目前为止,一切都一直工作。 我可以使用id来获取有关存储在我的数据库中的用户的信息。 getent passwd也在工作。 然而, getent shadow不是。 此外,我无法使用passwd更改存储在数据库中的用户的passwd 。 有没有办法解决这些问题? 顺便说一句,我正在运行Ubuntu 10.04作为最小的虚拟机。 更新 我改变的唯一configuration文件是/etc/nss-mysql-root.conf和/etc/nsswitch.conf 。 我很确定前两个是正确的。 因为他们只是configuration数据库的访问方式。 我只在后面三行添加了“mysql”这个词: passwd: compat mysql groups: compat mysql shadow: compat mysql 我没有碰到任何其他configuration文件。 如果您需要查看其他文件,请让我知道,因为现在我不知道哪个其他configuration文件可能是感兴趣的。
我有完整的pipe理员权限访问我正在尝试进行身份validation的AD '08服务器。 错误代码意味着无效的凭据,但我希望这是像我input错误的密码一样简单。 首先,我有一个工作在相同的域的Apache mod_ldapconfiguration。 AuthType basic AuthName "MYDOMAIN" AuthBasicProvider ldap AuthLDAPUrl "ldap://10.220.100.10/OU=Companies,MYCOMPANY,DC=southit,DC=inet?sAMAccountName?sub?(objectClass=user)" AuthLDAPBindDN svc_webaccess_auth AuthLDAPBindPassword mySvcWebAccessPassword Require ldap-group CN=Service_WebAccess,OU=Groups,OU=MYCOMPANY,DC=southit,DC=inet 我展示了这一点,因为它可以在不使用任何Kerberos的情况下工作,因为许多其他向导都build议将系统身份validation用于AD。 现在我想把它翻译成pam_ldap.conf来与OpenSSH一起使用。 /etc/pam.d/common-auth部分很简单。 auth sufficient pam_ldap.so debug 这行在任何其他之前被处理。 我相信真正的问题是configurationpam_ldap.conf。 host 10.220.100.10 base OU=Companies,MYCOMPANY,DC=southit,DC=inet ldap_version 3 binddn svc_webaccess_auth bindpw mySvcWebAccessPassword scope sub timelimit 30 pam_filter objectclass=User nss_map_attribute uid sAMAccountName pam_login_attribute sAMAccountName pam_password ad 现在我一直在使用wireshark监视AD主机上的ldapstream量。 我从Apache的mod_ldap中捕获了一个成功的会话,并将其与来自pam_ldap的失败会话进行了比较。 第一个绑定请求是使用svc_webaccess_auth帐户成功的,searchrequest是成功的,返回1的结果。使用我的用户的最后一个绑定请求失败,返回上述错误代码。 […]
我有Postfix安装程序在CentOS盒子上提供多个虚拟域,并且所有的function都按预期工作。 客户端的login通过sasl2(saslauthd)和pam_mysql进行身份validation。 而当login尝试失败,saslauthd报告“saslauthd:pam_mysql – SELECT返回没有结果”。 然而,偶尔我得到字典式的攻击,虽然这些攻击从来没有成功,但我想限制sasl / pam_mysql重试。 请注意,我不想限制客户端会话和连接的数量。 目标是限制每封电子邮件的最大失败login尝试次数。 一些,但不限于,我试过的来源 www.postfix.org/SASL_README.html#saslauthd_pam www.linux-pam.org/Linux-PAM-html/Linux-PAM_SAG.html 限制失败的SSHlogin www.lehman.cuny.edu/cgi-bin/man-cgi?pam_sm_authenticate+3
我们有几个使用winbind连接到Active Directory的RHEL6服务器。 所有服务器都使用configurationpipe理工具进行相同的configuration。 但是,使用groups命令和/或sudo查询组时,服务器会产生不同的结果。 然而,Getent和winbind会在所有服务器上返回正确的一致结果。 user.name1和user.name2是组test.group1的成员。 test.group1是组test.group2的成员 在所有服务器上运行以下命令是一致的: # getent group test.group1 test.group1:*:16126:user.name1,user.name2 # getent group test.group2 test.group2:*:16125:user.name1,user.name2 # wbinfo –group-info test.group1 test.group1:*:16126:user.name1,user.name2 # wbinfo –group-info test.group2 test.group2:*:16125:user.name1,user.name2 但是服务器A不正确地返回: # groups user.name2 test.group1 服务器B正确返回: # groups user.name2 test.group1 test.group2 Sambaconfiguration如下所示: winbind use default domain = true winbind offline logon = false winbind separator = + […]
我正在为SA执行某个任务时build立一个脚本。 该任务需要将用户添加到只能通过SSH连接到系统的系统(使用密钥),而不是使用密码login。 我想要做的是让SA执行带有相应标志的adduser命令,一次性创build用户。 我不想做adduser …然后usermod -L,用户名。 (完全locking用户),或将shell设置为/ sbin / nologin(它与usermod -L的function相同)。 我不希望SA手动编辑/ etc / passwd。 我正在寻找一个命令行解决scheme。 我知道我可以编写一个脚本,但是这需要SA下载脚本并运行它,这是我的最后手段。