pam如何根据用户是通过ssh,本地,串口控制台等login来决定使用/etc/pam.d中的哪些文件?
我想获得centos 6对ldap进行身份validation(活动目录是特定的)我有点困惑,虽然因为安装nss-pam-ldapd后,我看到几个文件似乎是相同的configuration。 例如我有/etc/pam_ldap.conf和/etc/nslcd.conf。 这两个文件似乎都有相同的configuration选项。 似乎没有工作。 任何指导将不胜感激。
如何设置它,使su与当前login的用户相同,即 foo$ su -c 'something' foo 不需要密码? 这不会增加或删除任何安全性,因为它应该是一个noop。 想要这样做的原因是,我想有一个“根”下的用户类,可以pipe理该用户下运行的机器上的某些特定的服务,如news或mysql (检查他们的数据,更改configuration,重新启动等)。 这些用户将获得该帐户的sudo权限,除了在某些情况下调用init脚本之外,这通常运行良好 su -c 'start_daemon …' daemonuser 而这个计划就是这样。 当然,我可以更改init脚本或添加额外的sudo权限,但是我想避免这些exception,因为从长远来看,它们是一团糟。 su的configuration在PAM中,所以正确的魔法可能就在那里。
我有一个Postgresql数据库充满了用户帐户,我想让这些用户通过ssh访问一个服务器,只使用公钥authentication。 到目前为止,我已经在Ubuntu服务器上设置了这些部分: libnss-pgsql2将NSS连接到几个数据库视图,以Unix兼容格式列出我的用户 libpam-pgsql允许使用这些相同的视图进行PAMauthentication sshd AuthorizedKeysCommand用一个脚本来validation用户的公钥(仍然来自postgresql数据库)。 有没有更简单的方法来解决这个问题? 我有问题正确设置nssconfiguration(缺less文档和日志)。 感谢您的时间和帮助。
我有一个RHEL 6.5,AD服务器authenicates,那边工作正常。 该机器还运行使用PAM模块进行身份validation的Web应用程序。 我复制login,使一个pam模块供web应用程序使用。 (rstudio-server)和login正常工作。 但是,如果用户以前没有login过,那么他们的主目录并不是由pam_oddjob_mkhomedir创build的,如果我是该用户,那么将立即创build主目录。 我已经设置了selinux宽容,直到我得到这个sorting,我正在尝试pam_mkhomedir.so和pam_oddjob_mkhomedir.so(这两个都到位,oddjob服务正在运行) 没有概率,我想..它不是开始一个会话,它只是从PAM自动化,所以我尝试把线路调用mkhomedir到auth,但它不工作。 用pamtestertesting: # pamtester rstudio 00064742 "authenticate" Password: pamtester: successfully authenticated # pamtester rstudio 00064742 "open_session" Creating home directory for 00064742. pamtester: sucessfully opened a session 正如你所看到的,如果一个会话被打开,主目录是创build的,但不是在auth下。 这是相关的pam文件。 pam.d]# cat rstudio #%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth required pam_warn.so auth include system-auth #auth optional pam_mkhomedir.so skel=/etc/skel/ […]
目前的环境是windows和Linux(RHEL 4/5和SLES 10/11)的select,VNC通过使用ultravnc访问windows box并提供用户名/密码组合来authentication。 最好是使用VNC通过authentication(在显示控制台之前)通过用户名/密码组合来访问Linux服务器。 我知道使用VNC可以使用通用密码或无密码来处理这个问题。 这种情况下最好的解决scheme是什么? 是否可以根据需要configurationVNC访问? 同样有益的是通过pam进行身份validation,以便使用pam_access和其他限制。 谢谢, 马特。
我试图设置vsftpd使用我们的域login。 我希望ftp用户能够使用他们的活动目录用户名/密码login,并且能够完全访问/ media / storage / ftp / username。 我使用winbind安装pptp并且工作正常,所以我相信这个问题是vsftpd和pam。 ftp服务器运行并为login提供530。 我打开了对pam模块的debugging,但在syslog中什么也看不到。 Vsftp只在其日志中logging错误的login信息。 /etc/pam.d/vsftpd auth required pam_winbind.so debug /etc/vsftpd.conf文件 listen=YES listen_ipv6=NO connect_from_port_20=YES anonymous_enable=NO local_enable=YES write_enable=YES xferlog_enable=YES idle_session_timeout=600 data_connection_timeout=120 nopriv_user=ftp ftpd_banner=Welcome to Scantiva! Authorized access only! local_umask=022 local_root=/media/storage/ftp/$USER user_sub_token=$USER chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd guest_enable=YES guest_username=ftp ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=NO force_local_logins_ssl=NO ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/private/vsftpd.pem
我想使用nginx PAM模块在FreeBSD系统上用现有的用户来authentication站点。 我试图使用pam_unix.so,但没有运气。 这只是让我在我的usr / psw对。 🙁 nginx conf: location / { root html; auth_pam "Secure Zone"; auth_pam_service_name "nginx"; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/$fastcgi_script_name; include fastcgi_params; } /usr/local/etc/pam.d的nginx文件dir: auth required pam_unix.so account required pam_unix.so 如果有人能告诉我一个可行的configuration,我将不胜感激。 🙂
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用sssd身份validation,并使用LDAP来识别用户(全部通过sssd 。 问题 我无法以adtool创build的用户adtool ,这意味着我很难自动将新用户添加到我的简单AD。 当我尝试,KDC说,它不能支持encryptiontypes(我假设这是用户的密码?)请参阅下面的“错误信息”部分。 但是,我可以以内置pipe理员用户身份login,也可以通过join域的Windows Server 2008 EC2实例上的Microsoftpipe理控制台创build的用户身份login。 所以我的设置工作,或者至less部分工作。 TL;需要DR解决scheme 我需要知道是什么,我做错了adtool ,阻止我作为用户创build的用户login。 我不明白自己做错了什么,我认为这对于试图做类似于我的事情的人来说可能是有用的。 下面的细节。 错误信息 这是在用adtool创build的用户尝试login时的sssd输出: (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446649: Response was from master KDC (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446788: Received error from KDC: […]
我将不胜感激在以下问题的任何帮助: 我有一个openladp(2.3.39)服务器(Fedora 8),它从其他ldap客户端(各种版本的Fedora)authentication用户。 在尝试升级整个基础架构时,使用tcsh(作为默认shell)的ldap用户无法login运行CentOS 7的新客户端。相反,ldap用户使用bash以及本地用户(不pipe其默认shell)login没有问题。 Ldap tcsh用户既不能从控制台也不能从sshlogin。 从控制台,我收到的消息是: pam_unix(login:auth) authentication failure pam_unix(login:session) session opened for user 并从ssh(没有失败部分): pam_unix(sshd:session) session opened for user 但是,用户永远不会得到一个shell提示符,表明login挂起。 我不知道这个问题是否与pam有关,但在我的/etc/pam.d/system-auth-ac下面find,因为它是由system-authconfig自动创build的: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= […]