我已经设置了pam-pgsql来通过Saslauthd在Postfix的数据库中查找密码。 我可以使用命令行testing凭据: $ sudo testsaslauthd -u [email protected] -p password 0: NO "authentication failed" 身份validation将失败,我不知道为什么。 $ sudo tail /var/log/auth.log Feb 5 15:33:12 saslauthd[7460]: pam_unix(imap:auth): check pass; user unknown Feb 5 15:33:12 saslauthd[7460]: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Feb 5 15:33:14 saslauthd[7460]: DEBUG: auth_pam: pam_authenticate failed: Authentication failure Feb 5 15:33:14 saslauthd[7460]: do_auth […]
当build立一个新的服务器,我通常只允许通过密钥authentication,而不是根用户login。 因此,我编辑这样的sshd_config: 我将“PermitRootLogin”更改为“no”,并取消“PasswordAuthentification”的注释并将其设置为“no”。 虽然这工作得很好,我已经检查,发现没有办法只能通过密码login,我想知道为什么一些指南build议将“UsePAM”设置为“否”,而其他指南根本没有提及(从而保持这是“是”)。 似乎没有明确的意见,当切换到唯一身份validation时是否应该更改UsePAM设置。 离开UsePAM的安全含义是什么(“是”),如果有的话?
TL; DR 我希望能够使用我第一次login时生成的kerberos票证从一个FreeBSD主机ssh到一个FreeBSD主机。 题 环境 FreeBSD 10.3与工作openldap-sasl-client,kerberos 5(不是heimdal),sssd,ssh,并joinActive Directory(2008 R2)。 我不得不从/ usr / ports源码位置编译sssd,因为默认情况下sssd-ad并不包括我所需要的。 我不使用winbind,所以参考1是没有帮助的。 (FreeBSD也没有authconfig命令,显然。)我可以执行一个kinit就好了: [bgstack15@localhost /]$ kinit [email protected]'s Password: [bgstack15@localhost /]$ klist Credentials cache: FILE:/tmp/krb5cc_5532829429 Principal: [email protected] Issued Expires Principal Aug 18 16:01:16 2016 Aug 19 02:01:16 2016 krbtgt/[email protected] 之后,我可以ssh -K secondhost ,它需要我在那里。 问题是我希望能够在login时生成一个Kerberos票据,或者至less这样我就不必input我的密码了。 我使用GSSAPI身份validation来到本地主机,所以我买了一张kerberos票。 我可以通过一个,也许? 我已经试过了 这是我的/etc/pam.d/sshd auth sufficient pam_opie.so no_warn no_fake_prompts […]
我当前的sshd PAMconfiguration: #%PAM-1.0 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so 我正在添加Google Authenticator,但是我们还没有准备好将其推广给所有用户。 我相信以下内容应该要求Google Authenticator PAM为“gauth”组中的用户提供服务,但是希望有人在我将自己locking在SSH之前检查我的工作。 #%PAM-1.0 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth auth [success=1 default=ignore] pam_succeed_if.so quiet user notingroup gauth auth required pam_google_authenticator.so […]
tl; dr假设一个基本的(但function正常的)LDAP / PAMconfiguration,当我尝试将一个现有的UNIX / LDAP用户添加到Samba时,smbpasswd如何失败并显示此错误消息? 我有一个基本的,但工作在Debian服务器上的LDAP设置,有很less的帐户加载了密码等,他们相应的UNIX帐户已经创build。 我也有一个基本的PAM / NSSconfiguration似乎正在工作。 我可以通过LDAPlogin和使用帐户。 现在我想使用Sambaconfiguration一个简单的文件共享,并通过PAM / LDAP后端对用户进行身份validation。 我处于需要使用smbpasswd实用程序创buildSamba用户的地步,但是这会导致错误。 首先,我设置LDAP密码: # smbpasswd -W 然后我尝试添加一个已经在LDAP中configuration的用户: # smbpasswd -a new_user New SMB password: Retype SMB password: Failed to add entry for user new_user. 所以我不知道为什么这个命令是失败的。 起初我想,这是因为我需要使LDAP目录中的用户成为sambaSamAccount 。 所以我更新我的用户的LDIF文件看起来像这样: dn: cn=new_user,ou=group,dc=example,dc=com cn: new_user gidNumber: 1000 objectClass: top objectClass: posixGroup dn: uid=new_user,ou=people,dc=example,dc=com objectClass: top […]
虽然尾巴/var/log/auth.log我注意到有多个条目input(瞬间)用户“富”分钟。 我个人只有一个连接打开作为用户“root_bar”而尾随auth.log (日志示例下面)。 正如你所看到的,这个传入的SSH连接没有IP信息。 跟踪传入SSH连接的IP地址的最佳方式是什么? Aug 10 14:30:04 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:04 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:06 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:06 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 […]
我有一个混合的Linux / Windows软件开发环境,Linux客户端正在迁移到他们能够对Active Directory进行身份validation的系统。 (我觉得这个部分) 我们的实验室目前正在使用CVS对我们的源代码进行版本控制。 在迁移过程中,我们需要用户能够validation我们的CVS服务器。 我有这样的计划,当迁移发生时,我们将build立CVS服务器来对AD进行身份validation。 不幸的是,我对CVS没有太多的经验。 这个任务甚至可能吗? 据我所知,它可以设置为基于本地用户在系统上进行身份validation。 但是,由于实际用户不会将其凭据存储在本地服务器上(因为它将它们从AD中拉出), 是否可以pam CVS依赖于pam进行身份validation? 我已阅读有关使用用户凭据通过SSH访问CVS。 这是否会发生这种要求? 如果是这样,那么怎么设置呢? 我非常感谢帮助!
我已经能够得到我的一些Linux服务器对我的LDAP目录服务器的用户进行身份validation,但是我在使用FreeBSD的nss_ldap和pam_ldap时遇到了一些麻烦。 从FreeBSD官方文档到这里: http : //www.freebsd.org/doc/en/articles/ldap-auth/client.html 我安装了2个软件包,并创build了一个configuration文件/usr/local/etc/ldap.conf,并且在同一目录nss_ldap.conf中创build了一个符号链接。 根据文档,他们都可以使用相同的configuration文件。 我保持它非常简单,直到我能得到它的工作: 的ldap.conf / nss_ldap.conf: base dc=corp,dc=example,dc=org host 192.168.0.100 ldap_version 3 binddn cn=admin,dc=corp,dc=example,dc=org bindpw secret NSS的工作,据我所知。 “getent passwd”显示来自LDAP目录的信息以及本地信息。 现在我想validation,所以我添加一行到/etc/pam.d/sshd: # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass debug auth required […]
我们有一些PAM + LDAP的服务器。 configuration是标准的(请参阅http://arthurdejong.org/nss-pam–ldapd/setup或http://wiki.debian.org/LDAP/PAM )。 例如,/etc/pam.d/common-auth包含: auth sufficient pam_unix.so nullok_secure auth requisite pam_succeed_if.so uid >= 1000 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so 当然,它适用于ldap和本地用户。 但是,每个login首先到达pam_unix.so,失败,然后才成功尝试pam_ldap.so。 因此,我们对每个ldap用户login都有一个众所周知的失败消息: pam_unix(<some_service>:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<some_host> user=<some_user> 我每天有多达60000个这样的日志消息,我想要更改configuration,所以PAM将首先尝试ldap身份validation,并且只有在它失败时 – 尝试pam_unix.so(我认为它可以提高I / O性能服务器)。 但是,如果我将common-auth更改为以下内容: auth sufficient pam_ldap.so use_first_pass auth sufficient pam_unix.so nullok_secure auth required pam_deny.so 然后,我不能再用本地(非LDAP)用户(例如,通过SSH)login。 […]
kinit -p“用户名”的工作原理 – 设置Kerberos领域没有问题。 然而,我无法从GUIlogin。 客户端身份validation日志: pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm> gkr-pam: error looking up user information 服务器krb5kdc.log: Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional pre-authentication required Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: ISSUE: authtime 1412144843, […]