我们一直使用PowerBroker身份服务开放来成功地从ubuntu主机authentication活动目录用户六个月。 最近ADauthentication在多个工作站停止工作后,用户一次执行200+包的apt-get upgrade 。 身份validation尝试会给出错误信息,“密码无效”,“用户帐户已过期”或“您的帐户是否被locking? 我一直无法将问题链接到特定的软件包升级,但是使用相同的软件包版本从头开始构build的工作站不会遇到问题。 我已经尝试重新安装PBIS和validation所有的configuration文件,但我错过了一些东西….我不知所措,并会爱任何人的build议。 我宁愿不必在下次发生这种情况时重build另一个盒子! 身份validation尝试 我第一次validationAD用户帐户已启用,没有被locking,并没有过期。 本地用户身份validation通过lightdm和ssh正常工作。 lightdm 有效的凭据 错误返回给用户“密码无效,请重试。” auth.log:没有 系统日志:没有 密码错误 错误返回给用户“密码无效,请重试。” auth.log: lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022] 系统日志: lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed) lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = […]
我想要限制来自所有,除了一个IP地址的根loginSSHlogin。 我的印象是,我只需要添加到/etc/pam.d/sshd: account required pam_access.so 这个到/etc/security/access.conf: -:root:ALL EXCEPT IPADDRESS 但似乎并没有工作。
我想让用户使用我的rails应用程序的凭据login到sftp帐户。 如果我理解正确,我应该以某种方式使用PAM。 但是我没有find有关如何做到这一点的任何信息?
我想授予轮组(其他系统pipe理员)su访问的用户而不需要密码。 我知道如何在linux下使用pam,但是现在的问题是FreeBSD。 我不熟悉FreeBSD的PAM子系统的语法。 我应该在/etc/pam.d/suinput什么,而不是默认值: auth sufficient pam_rootok.so no_warn auth sufficient pam_self.so no_warn auth requisite pam_group.so no_warn group=wheel root_only fail_safe ruser auth include system # account account include system # session session required pam_permit.so
我有一个警告消息,在用户input用户名login到我们的Linux服务器后显示给用户。 我只想显示这个消息的密码authentication,而不是当使用密钥。 它应该只显示给login到主机的用户,而不是当他们从一台主机到另一台主机(我们的主机都设置了密钥,所以我们可以从一个到另一个没有input密码)。 目前,我在/ etc / ssh / sshd_config文件中有一条指向包含警告消息的文本文件的Banner行。 横幅似乎没有任何进一步的configuration选项,所以我想知道是否有办法做到这一点与帕姆或其他机制? 谢谢。
我使用AD作为我的用户帐户服务器ldap。 大多数服务器运行UsePam是除了这一个, 它在sshd上缺乏对pam的支持。 root@linserv9:~# ldd /usr/sbin/sshd linux-vdso.so.1 => (0x00007fff621fe000) libutil.so.1 => /lib/libutil.so.1 (0x00007fd759d0b000) libz.so.1 => /usr/lib/libz.so.1 (0x00007fd759af4000) libnsl.so.1 => /lib/libnsl.so.1 (0x00007fd7598db000) libcrypto.so.0.9.8 => /usr/lib/libcrypto.so.0.9.8 (0x00007fd75955b000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x00007fd759323000) libc.so.6 => /lib/libc.so.6 (0x00007fd758fc1000) libdl.so.2 => /lib/libdl.so.2 (0x00007fd758dbd000) /lib64/ld-linux-x86-64.so.2 (0x00007fd759f0e000) 我已经安装了这个软件包 root@linserv9:~# dpkg -l|grep -E 'pam|ssh' ii denyhosts 2.6-2.1 an utility to help sys admins thwart […]
我在Server2上使用pam_ldap设置远程LDAP服务器(Server1)和SSH。 一切正常,我可以用LDAP凭据login到SSH。 但是当我想添加新用户时,我必须先在LDAP数据库中创build它,然后在Server2上运行adduser。 在将数据添加到LDAP数据库后,如何在Server2上自动创build用户帐户? 例如,当用户第一次login? 谢谢。
我正在尝试使用自定义radius服务器来configurationssh进行身份validation。 所以我想要的是,首先它应该使用当前的sshlogin(unixlogin)进行身份validation,然后提示用户input第二个radius的密码。 我正在设置/etc/pam.d/sshd,如下所示 auth required pam_unix.so debug **auth sufficient /lib/security/pam_radius_auth.so debug conf=/home/pam_radius try_first_pass** 但是,我的第一个身份validation并没有发生。 它立即进入半径。 按照pam_radius ..try_first_pass ….如果没有以前的密码,或者以前的密码authentication失败,用“inputRADIUS密码:”提示用户,并要求input另一个密码。 尝试使用此密码,并根据情况返回成功/失败。
我正在一个美分6.3盒子,并试图logging从一个bash shell执行的所有命令,并遇到了pam_tty_audit。 我已经将适当的行添加到我的/etc/pam.d/system-auth file : session required pam_tty_audit.so enable=* 问题是,除非用户是root用户,否则不会捕获命令。 例如,如果我以root身份login,它会将所有日志logging到审计日志中,但是如果我以普通用户的身份login,那么直到root拥有su后才会开始logging任何内容。 有任何想法吗?
我正在使用CentOS-ds(基于Redhat-DS和389目录服务器)。 我有LDAP设置,并努力validation用户(和Sudo,这是一个方便的function!)。 即使passwd正在努力改变存储在Ldap中的密码。 不过,我有一个小问题。 login到服务器后,如何强制所有用户帐户创build新密码? 正常的方式,我会做到这一点: chage -d 0 username 似乎并没有被“灌输”。 我如何强迫他人在他们的下一个(ssh)login中创build新的密码? 我需要创build用户帐户,我真的不希望人们保持我为他们设置的密码.. *编辑 – 我已经设置LDAP服务器强制密码更改时,密码重置。 但是,我似乎无法find一种方法来以正确的方式“重置”密码来触发此。 (所有我能find的只是以目录pipe理员身份login并更改密码)* edit2。 由于我们将要把许多机器移动到LDAP,所以我编写了一个脚本,以root身份运行以设置LDAP身份validation。 也许我在这里错过了什么? (编辑出来的服务器和basedn。) #!/bin/sh # authconfig –enableldap –enableldapauth –enablemkhomedir –ldapserver=<server1>,<server2> –ldapbasedn="<basedn>" –update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base <basedn> timelimit 120 bind_policy soft bind_timelimit 120 idle_timelimit 3600 uri ldap://<server1>/ uri ldap://<server2>/ ssl no tls_cacertdir […]