由于各种原因,我们希望将我们的文件服务器从OS X Server 10.9迁移到在Ubuntu 14.04LTS上运行的真正的Samba实现。 我们已经安装了Ubuntu并运行了Samba,甚至还安装了PAM设置来对照我们的Apple OpenDirectory服务器对用户进行身份validation。 但是,让Samba以我们想要的方式validation用户是相当具有挑战性的。 看来我们有两个select。 选项1只是让Samba将其委托给已经正常运行的PAM子系统; 选项2是使用Samba对LDAP和Kerberos的内置支持。 在Ubuntu的开箱即用的configuration似乎赞成选项1,并且确实看起来像这将是最简单的设置来pipe理长期。 (scheme2需要更多的configuration,包括对苹果模式的修改,我的理解在实践中并不是一个好主意。) 所以,所有人都说,我打算试图让选项1工作,(几乎这样做)。 目前, 针对OD的PAMauthentication已经起作用。 我可以sshlogin作为系统OD用户整天的系统。 但是,不好的是用户在Samba将它们识别为UNIX用户之前必须先执行此操作。 换句话说,在用户至less通过SSH成功连接一次之前,Samba将不会识别他们的凭证。 此外,我不相信Samba会看到OD组,因为试图限制连接到基于组名的某些共享也不起作用。 一旦用户使用SSHlogin了一次(或者在尝试使用标准的本地用户帐户时),Samba会永远接受他们的名字和密码。 在此之前,它只是拒绝他们。 smb.conf文件包含以下相关条目: server role = standalone server obey pam restrictions = yes passdb backend = tdbsam unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* […]
我正在configurationyubico-pam ,使用Yubikey的challenge-response来启用无密码的sudo访问。 以下工作: # /etc/pam.d/sudo auth sufficient pam_yubico.so mode=challenge-response auth required pam_opendirectory.so account required pam_permit.so password required pam_deny.so session required pam_permit.so 除非pam_yubico.so模块丢失,卸载或损坏,在这种情况下会告诉: $ sudo su – sudo:无法初始化PAM:没有这样的文件或目录 是否可以告诉PAM忽略丢失的模块,而不是简单地立即返回并阻止PAM继续评估堆栈?
有没有人在CoreOS上设置ldap? 如果是这样,一个人怎么做这样的工作呢? 我有一个CoreOS机器的集群,我试图挂钩这个服务Foxpass https://www.foxpass.com/到它的用户pipe理。 然而,我似乎无法得到适当的二进制文件来运行这个。 我试图得到nslcd,我似乎没有罚款作为内置版本。 我看了一下nss-pam-ldap http://arthurdejong.org/nss-pam-ldapd/nslcd.8,但是我需要编译一下,哪个CoreOS不是真的有能力也不应该。 有一个值得信赖的回购的地方,我可以curl一个内置版本? 我正在考虑使用docker工具,但是我可以想出一种方法可以使ldap有效。
我最近从优胜美地将我公司的Mac Mini设备升级到El Capitan,并在升级过程中遇到了几个问题。 我已经解决了他们中的大部分,但仍然失败的是SSH连接。 该机器能够SSH到其他设备,但它能够接收传入的SSHD连接似乎被部分破坏。 密码authentication不再在机器上运行。 我已经多次确认用户名和密码是正确的。 我可以在本地login,没有任何问题相同的凭据。 我认为这与sshd_config中的UsePAM设置有关,因为当我closures这个function时,公共密钥authentication开始工作,但是当它打开的时候它不会。 但是,在这两种情况下,密码validation都会在100%的时间内失败。 我已经尝试将Mac上的OpenSSH版本升级到7.1p2,但是这完全破坏了公钥authentication,密码仍然失败。 Mac版本仍然是6.9,因为这是唯一可以访问系统的版本。 我包括我能想到的所有日志输出,但我完全损失。 sshd_config中: # $OpenBSD: sshd_config,v 1.89 2013/02/06 00:20:42 dtucker Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config […]
我们正在实施一个解决scheme,允许用户通过aad-login (Azure Active Directorylogin)login以下指南: https : //github.com/bureado/aad-login 一切正常 – 我可以通过SSHlogin到具有AAD凭据的Ubuntu机器(14.04 LTS)。 通过/etc/pam.d/common-auth这一行启用login auth sufficient pam_exec.so debug expose_authtok seteuid /usr/local/bin/aad-login 此外,我们希望通过xrdp(使用X11rdp )扩展AAdlogin – 但是使用AAD Credentialslogin不起作用。 X11rdp与本地用户工作正常(所以xrdp-sesmanconfiguration正常) 似乎xrdplogin屏幕上的用户名不会传递到“aad-login”( /usr/local/bin/aad-login ) 在common-auth内logging表示没有AAD用户提供的用户名/密码。 (如上所述,与本地用户login工作正常) 所有用户都在tsusers组(也是AAD用户) 我必须补充一点,我们已经有一台testing机器可以正常工作,但是我们无法重现这种情况 – 所以在这个configuration中似乎没有东西。
我需要一个VPN解决scheme给我的公司。 一个要求是能够使用内置的Windows VPN客户端。 我们正在运行Debian Etch服务器。 我设法设置PPTPD,但身份validation基于chap-secrets文件。 我们已经在服务器上设置了所有的用户帐号,所以使用PAMauthentication直接从unixlogin获取用户/密码是很好的。 这是可能实现和如何? 如果没有,有没有其他的VPN解决scheme可以做到这一点? 不要告诉我OpenVPN,它需要额外的软件安装在Windows机器上。 🙂
我已经在Ubuntu 10.04机器上设置了主目录encryption,但ecryptfs似乎无法与Dovecot (或CourierIMAP等)一起使用。 IMAPlogin成功后,主目录永远不会挂载,Dovecot显然找不到邮件目录。 我不知道我是如何触发坐骑,所以我需要一些帮助。 Dovecot正在使用PAM,所以我希望在成功login主目录后将被挂载,但这是我所有的日志和目录没有挂载: Jan 16 02:12:37 ubuntu dovecot-auth: pam_sm_authenticate: Called Jan 16 02:12:37 ubuntu dovecot-auth: pam_sm_authenticate: username = [username] Jan 16 02:12:37 ubuntu dovecot-auth: Passphrase file wrapped Jan 16 02:12:38 ubuntu dovecot-auth: Error attempting to add filename encryption key to user session keyring; rc = [1] Jan 16 02:12:38 ubuntu dovecot: imap-login: […]
我在Samba中将密码质量检查从check password script到PAM,现在当pam_passwdqc或pam_cracklib拒绝密码更改时,用户将恢复“访问被拒绝”错误,而不是标准的“您input的密码不符合密码策略yada yada”(在涉及字典检查时大多数情况下是不真实的,并且对于不同的长度存在不同的规则)。 当PAM拒绝密码更改时,如何强制Samba返回“密码不符合策略”错误? 我已经使用pam password change = yes 我可以让Samba返回更具体的错误,并使Windows显示它? 例如:您的密码太短,您的密码是基于字典的单词,您的密码还需要字母以外的其他字符。
可以configuration使用RADIUS身份validation的路由器和交换机,只要RADIUS服务器可用,就可以为本地configuration的用户禁用login。 如果RADIUS服务器不可用,它们将回退到允许以本地configuration的用户身份login。 使用winbind来authenticationActive Directory用户的Linux机器可以达到同样的效果吗? 我有一种感觉,可以用正确的PAMconfiguration来完成,但是我在PAM的学习曲线上并不是很远。
现在,如果我尝试添加一个非系统用户而不是在大学的Kerberos领域,无论如何我都会提示inputKerberos密码。 显然没有密码input,所以我只是按回车,看看: passwd: Authentication token manipulation error passwd: password unchanged 键入passwd newuser与同一个消息有相同的问题。 我试图使用pwconv ,希望只需要一个影子入口,但它没有改变。 我想能够添加一个本地用户不在领域,给他们一个本地的密码,而不用担心Kerberos。 我在Ubuntu 10.04上。 这里是我的/etc/pam.d/common-*文件(Ubuntu的pam-auth-update软件包生成的默认文件): 将/etc/pam.d/common-account # here are the per-package modules (the "Primary" block) account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so # here's the fallback if no module succeeds account requisite pam_deny.so # prime the stack with a positive return value if there […]