Linux有一个处理cgroup的PAM模块。 它是如何configuration的(它支持哪些选项?)
它是否存在关于如何设置LDAP服务器的官方安装文档,我可以使用authconfig将客户端连接到该服务器。 我将成为Centos 6和RHEL 6.1。 我能find的是这个 。 但我不需要学习如何重新启动服务,我更想知道需要在我的LDIF文件中input什么types的东西,任何需要完成的SELinux工作,如何执行authconfig工具以及人们写在他们的博客上的文章。 有这样的事吗? 或者,我需要从未更新的博客中获取这些信息,并阅读linux手册页,也许可以从openldap.org获取有关我不需要知道的有关设置身份validation的更多信息。
如何设置我的Linux机器,以便在Active Directory域控制器closures的情况下,仍然可以以超级用户身份login,而不会有任何超时或延迟? 以下列出大部分文档的示例,我已经在/etc/pam.dconfiguration中的pam_unix.so之前列出了pam_winbind.so 。 我相信这是问题的原因。 我记得看到备用/etc/pam.d设置,改变顺序,并可能添加pam_localuser或pam_succeed_if (看是否小于500),但我现在找不到任何细节(我还不够的PAM专家,可以快速,轻松地自行提供强大的configuration)。 如果Active Directory不可用,build议使用Winbind的PAM以避免超时和延迟?
在aws ec2实例上使用Ubuntu 10.04。 我很高兴只是使用SSH,但然后一个WordPress插件需要FTP访问…我只需要一个网站www.sitebuilt.net在/ home / sitebuil的FTP访问。 我安装了一个vftpd和pam,并且遵循了使我处于以下状态的build议 /etc/vftpd.conf listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/private/vsftpd.pem guest_enable=YES user_sub_token=$USER local_root=/home/$USER chroot_local_user=YES hide_ids=YES check_shell=NO userlist_file=/etc/vsftpd_users /etc/pam.d/vsftpd # Standard behaviour for ftpd(8). auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed # Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so. # […]
我使用ldap进行远程用户身份validation,我基本上需要弄清楚如何: 一个。 从机器a通过nfs chroot机器b上的用户(如果没有安装更多的目录,似乎不可能) 要么 – – – – 湾 将用户添加到计算机a上的ldap数据库之后,强制脚本在用户login期间在计算机b上执行,这将在用户首次login时自动根据用户chroot进行操作。 我想我的第二个select可能是最好的select,并且正在考虑使用pam_exec.so来调用脚本。 但是,我对这种方法有一些担忧。 首先,我不确定将要运行的脚本是否具有执行chroot所需的root权限。 其次,我不确定pam_exec是否在login过程中足够早地成为一个有效的选项。 最后,我需要确保代码在pam.d / ssh和pam.d / su中都起作用,认为这是一个有效的解决scheme。 我的担心是否有效?看起来这是一个很好的解决scheme吗? 还是有更好的方法来解决这个问题。
更新PAM安全日志后开始显示: su: PAM unable to dlopen(/lib64/security/pam_rootok.so): /lib64/security/pam_rootok.so: undefined symbol: selinux_check_access su: PAM adding faulty module: /lib64/security/pam_rootok.so 鉴于文件的名称,这似乎是一个严重的问题,但我无法find有关错误的任何信息。 我不会让任何人login到这台服务器上,所以我并不是想保护本地用户,但是我仍然希望PAM能够正确地对付任何未经授权的访问。 编辑:pam_rootok.so确实存在,其权限与/lib64/security下的其他文件相同。 此外su似乎工作,因为我仍然可以从非root用户移动到根。
背景/行为是:如果您通过ssh打开并且GSSAPI / Kerberos成功,并且您在/ etc / passwd中拥有本地用户,则您可以根据以下PAMconfiguration正确login。 所有好的。 但是,如果您在/ etc / passwd中没有本地用户,但是您可以获得主机/ XXXXXX服务票证(GSSAPI有效),则sshdlogin失败,永远不会收到SecurID提示(我们的pam radius指向SecurID)。 我明白那个。 由于服务器“authentication”了用户,并且pam_unix 知道用户不在/ etc / passwd中,所以不需要使用任何其他authentication方法。 但是,我的问题是,为什么我第一次运行kdestroy(故意有GSSAPI失败),并且仍然不存在于/ etc / passwd中,我是否突然得到一个Securid提示符(即PAM被占用)? 运行sshddebugging显示:推迟键盘交互式无效用户“用户”。 首先,它为什么不简单地失败? 其次为什么延迟? pam_radius是“必需的”,而不是“必需的”。 我也希望也只是失败,因为即使我没有通过身份validation,我永远不会超过pam_unix。 文件: 的/ etc / SSH / sshd_config中 …. ChallengeResponseAuthentication yes GSSAPIAuthentication yes HostbasedAuthentication no KerberosAuthentication no PasswordAuthentication no PubkeyAuthentication yes RhostsRSAAuthentication no RSAAuthentication yes UsePAM yes …. […]
我尝试设置一个LDAP目录,允许我对Debian用户进行身份validation。 一旦LDAP服务器和PAM文件的configuration完成,authentication失败。 我认为客户端没有findldap用户进入目录。 当我尝试用一个LDAP用户login它说不好的login,当我尝试login本地用户,它要求我一个密码,然后LDAP密码。 服务器 1)我先安装了ldap-utils libldap-2.4-2 libldap-2.4-2-dbg slapd slapd-dbg 2)在文件/etc/ldap/ldap.conf中: BASE dc=example,dc=com URI ldap://192.168.1.254/ 3) dpkg-reconfigure slapd 我检查有关域的信息是正确的:正确的。 4) ldapsearch -x 它符合我之前select的。 5)我为目录和用户创build.ldif文件 structure.ldif: dn: ou=users,dc=example,dc=com objectClass: organizationalUnit u: users description: users dn: ou=computers,dc=example,dc=com objectClass: organizationalUnit ou: computers description: computers dn: ou=sale,ou=users,dc=example,dc=com objectClass: organizationalUnit ou: sale description: sale dn: ou=direction,ou=users,dc=example,dc=com objectClass: organizationalUnit ou: direction […]
我使用本地帐户(Linux)的pam_krb5进行AD密码validation。 事情运作良好,用户可以用AD和本地密码进行身份validation。 我有一个问题,但当本地密码过期Kerberos身份validation失败,并提示用户更改其本地密码。 问题是,大多数用户不记得他们的本地密码,到目前为止我的解决方法是暂时禁用本地密码更改实施。 有没有办法让pam_krb5忽略过期的本地密码,或者至lessconfigurationPAM来优先考虑本地的Kerberos密码? 我的研究使我相信这与common-auth有关,我在下面提供了这个: auth required pam_env.so auth sufficient pam_unix2.so auth requisite pam_succeed_if.so user ingroup access_www auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so
我想在我们的一些服务器上设置pam_ldap,这样我们可以集中pipe理谁可以访问哪个服务器,并且如果有人离开公司,可以轻松地撤销访问。 我已经做了一些研究,并得到了这个工作。 万岁! 不过,我也希望能够使用公私钥login – 即允许用户将他们的公钥存储在LDAP目录中,并让这些login也可以login。 我找不到任何关于能够做到这一点的文件,但是我也找不到任何应该不可能的原因。 有没有办法做到这一点,还是有一些根本的原因,它不会工作?