对于/etc/passwd的一部分用户,我想configurationPAM(在Linux上)对LDAP服务器执行login密码检查部分,忽略这些用户实际上在/etc/passwd 。 特别是, /etc/passwd和/etc/group应该在所有的情况下用于UID和GID,这样uidnumber和gidnumber等属性不需要被添加到目录(这里是Active Directory)文档,如LDAP Implementation HOWTO 。 这甚至可能(没有自定义PAM模块开发)? 将属性添加到LDAP目录是不可行的。 我不是Active Directory域pipe理员,并且不断增加对该级别的介入超出了此项目的范围。 系统在大多数Windows服务器环境中运行的情况; 如果指定的Windows用户可以在有问题的系统上使用他们的AD密码,那将会很好。 根据用户的不同,用户应该通过UNIX身份validation或LDAP身份validation进行检查,但不能同时进行。 我可能不会向Active Directory中的用户添加属性,但可能会将其添加到安全组(实际上还希望进一步要求LDAP用户位于特定的LDAP安全组中)。
在我们的企业环境中,很久以前,一些智者决定把用户“ mysql ”放到LDAP中。 该帐户已被禁用: $ sudo su – mysql This account is currently not available. …但它的身份证仍然存在: $ id mysql uid=2050913(mysql) gid=867(ENG) groups=867(ENG) 这使得mariadb安装在CentOS7上失败,因为/var/run/mariadb是由一个tmpfile规则创build的,该规则尝试将该目录分配给mysql所拥有。 但是,在LDAP /networking启动并运行之前,mysql不存在,而mariadb安装不会创buildmysql用户,因为用户已经存在于LDAP中。 有没有办法在本地强制PAM(或其他?)在LDAP中忽略用户mysql? 或者将ldap mysql用户重命名为mysql_ldap ? 我唯一的解决方法是在/etc/passwd手动添加条目吗? (或者更改mariadbconfiguration以使用不同的用户名。)我宁愿对来自rpm的configuration文件和systemd文件做最小的更改。 (而且我不希望从LDAP中删除mysql ,因为这可能会破坏很多传统的基础设施。) 我会用顺从,顺便说一句,来实现这个变化。 额外: 我已经改变了问题的标题: 我发现,如果我添加本地“ mysql ”用户,它工作正常,除非我有LDAP“ mysql ”用户的用户ID所拥有的文件。 如果我使用这些文件,则会污染nscd(或sssd)caching,“ mysql ”会再次parsing为LDAP用户。 看来我真正想要的是以某种方式构build帐户的PAMfilter,以使此LDAP“ mysql ”用户消失。
我正在使用sshd,并允许用公钥authenticationlogin。 我想允许select用户使用PAM双因素authentication模块login。 有没有什么办法可以允许特定用户使用PAM双因素身份validation? 同样的道理 – 我只想为特定帐户启用密码validation。 我希望我的SSH守护进程拒绝密码authentication,试图阻止黑客入侵,认为我不接受密码authentication – 除了有人知道我严密保护的秘密帐户,这是密码启用的情况。 我想这样做的情况下,我的SSH客户端不会让我做任何密钥或双因素身份validation。
我们有50台RH-5机器和70台RH-6机器。 我正在寻找决定我们应该用于LDAP的东西: 所有RH-5 / RH-6服务器的nscd / nslcd RH-5服务器使用nscd / nslcd,RH-6服务器使用sssd sssd适用于所有RH-5 / RH-6服务器 SSSD在两个版本上均可用(RHEL5 – sssd 1.5和RHEL6 – sssd 1.9+) 最后一个选项意味着RHEL5机器运行sssd 1.5。 除非有人说sssd对RH-6来说真的更好,而对于RH-5来说nscd / nslcd真的更好,否则我宁愿使用相同软件和configuration的环境。 什么是最好的select?
当我在debian上运行login命令时,我得到: hostname login: _ 在RHEL5,Solaris或HP-UX上,我得到: login: _ 我需要能够自定义login:和password:在Linux机器上提示它。 我可以重新编译这个包,但有没有更好的(更简单)的方法来做到这一点? 我正在寻找一些PAMconfiguration选项,但没有find任何东西。 我知道这可以通过使用PAM_USER_PROMPT常量的pam_set_item()函数来PAM_USER_PROMPT ,但有没有办法在/etc/pam.d/*configuration文件中进行这种定制? 先谢谢你。 更新: 我需要这个来定制telnet用户名和密码提示。 但是, telnetd使用/bin/login作为提示,这就是为什么我要求在这个问题login自定义。
我有一个非常类似的问题,就像CentOS 6.3上的这个线程中描述的那样,对2008R2 AD DC进行身份validation。 这里是我的krb5.conf,我知道一个事实XXXXXXX.LOCAL是真正的域名: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = XXXXXXX.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true verify_ap_req_nofail = false [realms] XXXXXXX.LOCAL = { kdc = ad1.XXXXXXX.local kdc = ad2.XXXXXXX.local admin_server = ad1.XXXXXXX.local default_domain = XXXXXXX.LOCAL } [domain_realm] […]
作为root用户,我可以更改密码: hussie:/home/claudiu# passwd Enter new password: Retype new password: passwd: password updated successfully 作为非root用户,我不能: claudiu@hussie:~$ passwd Current Kerberos password: passwd: User not known to the underlying authentication module passwd: password unchanged 我也不能从根改变另一个用户的密码: hussie:/home/claudiu# passwd claudiu Current Kerberos password: passwd: User not known to the underlying authentication module passwd: password unchanged 谷歌search的问题表明使用pwconv和pwunconv ,但我没有这些,不知道在哪里可以find他们: claudiu@hussie:~$ pwconv -bash: […]
在Ubuntu 9 64位Linux机器上,sudo需要较长时间才能启动。 “sudo回声嗨”需要2-3分钟。 sudo命令告诉poll(“/ etc / pam.d / system-auth”,POLLIN)在5秒后超时,并且有多个调用(可能是循环)到相同的系统调用(这导致2-3分钟延迟)。 任何想法为什么sudo必须等待/etc/pam.d/system-auth? 任何可以使sudo超时更快? 谢谢塞缪尔
如果尝试使用错误的密码或login尝试失败,如何延迟来自SSH的重试响应。 我希望延迟比平常多2-3秒。 我找不到在sshd_config文件中的任何选项来实现相同的。 所以任何人都可以让我知道我应该如何去做。
我想限制Fedora机器上的失败重试次数为5.我想我可以用PAM来完成。 但是无法做到这一点。 我已经提到这篇文章来做到这一点 http://www.puschitz.com/SecuringLinux.shtml 请提供build议