Articles of pam

我正在运行Ubuntu 12.04 LTS。 我使用apt做了一些小的更新。 重新启动后，vsftp停止接受连接系统用户login。 在validation日志中，我收到以下错误 Dec 22 22:03:13 helium vsftpd: PAM unable to dlopen(pam_cracklib.so): /lib/security/pam_cracklib.so: cannot open shared object file: No such file or directory Dec 22 22:03:13 helium vsftpd: PAM adding faulty module: pam_cracklib.so Dec 22 22:03:13 helium vsftpd: pam_unix(vsftpd:auth): check pass; user unknown Dec 22 22:03:13 helium vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= […]

我已经安装了FreeRADIUS，PAM和Google Authtenicator。 FreeRADIUS调用PAM，然后PAM调用Google pam_google_authenticator.so库。 这一切都成功。 但是，这不是真正的双因素validation，因为所有需要的是来自Google App的OTP。 要获得两个2FA，我想使用本地Linux密码。 由于这是通过RADIUS，我不能提示这两个密码，并需要将它们合并为一个。 根据Google Auth README和我发现的各种博客，我应该在PAM中这样做： auth requisite pam_google_authenticator.so forward_pass auth required pam_unix.so use_first_pass 然后我可以在相同的提示下input密码和OTP，例如MyPass123456 但它从来没有工作。 通过debugging，我可以看到，pam_unix.so检查并接受来自用户的密码，但仍然失败。 如果我删除第二行，或者将“auth”改为“account”（我发现了一个build议），auth就起作用，但是本地密码被忽略。 我在我的PAMconfiguration中丢失了什么？

我的雇主多年来一直在运行RHEL 6.x和Apache httpd 2.2。 目前我们正在迁移到运行RHEL 7.1和Apache httpd 2.4的新硬件。 我们目前的网站有不同的地点，包含不同的客户端可下载的材料。 客户端都在服务器上有系统帐户。 我们目前基于客户端用户的组成员身份控制对位置的访问。 例如： <Location /xyzzy/*> AuthName "xyzzy product support" AuthShadow on AuthType Basic require group xyzzy Options Includes ExecCGI Indexes FollowSymLinks MultiViews </Location> 我们已经成功使用mod_auth_shadow在Apache 2.2下实现这个访问控制。 但是，我们发现这个模块在2.4下不会加载，因为模块调用了2.4中不存在的ap_requires() 。 我们已经注意到，RHEL 7默认运行 /usr/sbin/saslauthd -m /run/saslauthd -a pam 所以我一直在寻找使用PAM通过mod_authn_sasl作为mod_authn_sasl的替代。 我已经部分成功与这个Apacheconfiguration： <Location /xyzzy/*> AuthType Basic AuthName "xyzzy product support" AuthBasicProvider sasl […]

我使用FreeBSD 7.2作为NFS服务器，并作为OpenLDAP服务器（运行Debian etch）的客户端。 当用户访问NFS服务器上的文件时，用户的UID在ldap服务器中查找并映射到用户名（通过nsswitch）。 我的问题是，即使在将FreeBSDconfiguration为ldap服务器的客户端之后，也无法进行身份validation。 我知道configuration是正确的，因为input“ldapsearch”给我一个ldap服务器上所有用户的列表。 我使用http://www.freebsd.org/doc/en/articles/ldap-auth/client.html上的文档来进行configuration。 这些文档中是否有缺失？ 这是PAM / NSS使用的ldap.conf： [root@csastorage /csastore]# cat /usr/local/etc/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example,dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 BASE dc=cl,dc=csa,dc=iisc,dc=ernet,dc=in URI ldaps://<server address>/ TLS_REQCERT allow TLS_CACERT /usr/local/etc/openldap/server.pem #SIZELIMIT 12 #TIMELIMIT 15 #DEREF […]

我在RHEL 5.4上设置了一个OpenLDAP服务器，并configuration其他服务器来对其进行身份validation。 我有两个StartdLS ldap和ldapsconfiguration和工作。 在我的客户端机器上，我的/etc/nsswitch.conf包含： passwd: files ldap shadow: files ldap group: files ldap 我可以用一个只在LDAP中定义的用户成功login到一个客户端（也就是说，在/ etc / passwd中找不到它，并且成功地向LDAP请求用户信息，并通过存储在LDAP中的密码哈希进行身份validation）。 我的问题是，当我试图locking访问LDAP服务器中的属性时，特别是在/etc/openldap/slapd.conf中 ，ldap用户不能再login： access to attrs=userpassword by self write by anonymous auth by * none 我loggingslapd，它出现（我的解释，纠正我，如果我错了），pam_ldap正试图读取 poxixAccount objectClass中的所有属性： filter: (&(objectClass=posixAccount)(uid=cthompson)) attrs: uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 在我的openldap日志logging，我没有访问或acl错误，但我得到： access_allowed: search access to "uid=cthompson,ou=People,dc=domain,dc=com" "objectClass" […]

我想为使用我们系统的用户启用pam_mkhomedir.so。 我想要一个用户的主目录，当他们SSH进入框中创build。 一个常见的惯例似乎是把pam_mkhomedir.so放到/etc/pam.d/sshd 。 但是，是否可以将pam_mkhomedir.so放到/etc/pam.d/login ，以便主目录在login时？ 假设我希望在用户使用sftp，telnet或其他方法login到盒子时创build主目录。

我得到了可怕的sudo: must be setuid root即使/usr/bin/sudo的可执行文件拥有所有权root:root和mode 4755（ -rwsr-xr-x ），也sudo: must be setuid root错误。 /etc/sudoers是模式440.我的用户是在sudoers与所有适当的设置。 我已经清除并重新安装了该软件包，但无济于事。 我最初没有configuration这台机器。 它的维护已经下降到默认情况下。 这种行为是否可能与PAM进行交互？如果是这样，我该如何解决？ 该机器正在运行Debian 2.6.26-2-686 SMP内核。 没有写入/var/log/auth.log失败，所以它在这之前救援。 更新：这里的sudoers（删除了很​​多多余的注释行），但我很确定这不是问题。 Defaults env_reset Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:\ /usr/bin:/sbin:/bin" # Host alias specification # User alias specification User_Alias SUDOERS=david Defaults:SUDOERS !lecture,!authenticate # User privilege specification root ALL=(ALL:ALL) ALL %sudo ALL=(ALL:ALL) ALL SUDOERS ALL=(ALL:ALL) ALL 是的，我知道这太松懈了。 当我得到它的工作，我会收紧它。 据我所知，它甚至从来没有读到这个文件的阶段，但是当sudo进程本身试图升级它的用户ID时就死掉了。 […]

我有一个用/ bin / bash在LDAP中创build用户的testing，然后将ldap属性修改为/ bin / noshell，但getent和ldapsearch的结果与shell不一致。 该用户在/ etc / passwd中不存在。 当我做一个“getent check72 passwd”时，我得到： check72:*:6072:6072:Johnny Appleseed:/home/check72:/bin/bash 但是当我做一个ldapsearch命令时，我得到： # check72, people, wh.local dn: uid=check72,ou=people,dc=wh,dc=local uid: check72 cn: Johnny Appleseed objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e1NTSEF9OWVHdTdPVHIwVE15ajNQNEphdG9GR1cwZnQxa2Ftb3k= shadowLastChange: 15140 shadowMax: 99999 shadowWarning: 7 uidNumber: 6072 gidNumber: 6072 homeDirectory: /home/check72 loginShell: /bin/noshell # check72, group, […]

我们已经configuration了一个正常工作的OpenLDAP服务器。 FreeBSD，Debian和一个WordPress插件validation没有问题。 我们使用pam_sssconfigurationFedora 21，但是在/var/log/secure出现以下错误： Mar 1 00:15:00 www sshd[1176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): received for user {REDACTED}: 6 (Permission denied) getent passwd {REDACTED}返回 {REDACTED}:*:1000:500:{REDACTED (full user name)}:/home/users/{REDACTED}: 我运行configuration客户端的命令是 […]

我正在尝试为OpenSSH实现双因素身份validation。 环境是CentOS 7（内核：3.10.0-229.1.2.el7.x86_64），OpenSSH_6.6.1p1，OpenSSL 1.0.1e-fips 2013年2月11日。我们已经部署了Active Directory（LDAP）+ Kerberos。 规范如下： 具有现有的有效Kerberos票证的用户只能被要求提供第二个因素 必须要求没有现有有效Kerberos票证的用户input其密码和第二个因素 本地用户（无LDAPauthentication）应该能够使用本地密码进行authentication 第二个因素不能在第一个之前提供 除了Kerberos之外，如果可用的话，公钥authentication也应该被接受为第一要素 该function应该能够限制在一组用户 – 其他人只是让他们的密码 为了执行第二个因素的身份validation过程，第三方有一个对Kerberos一无所知的PAM模块。 所以这就是我所做的： 把这些行放到/ etc / ssh / sshd_config中： # To enable PAM – this will make sshd use PAM with configuration /etc/pam.d/sshd UsePam yes ChallengeResponseAuthentication yes # To enable Kerberos and public key authentication – it will let sshd […]