我正在使用samba / winbind / PAM路由从我们的Active Directory域对我们的Linux服务器上的用户进行身份validation。 一切正常,但我想限制哪些AD组被允许进行身份validation。 Winbind / PAM当前允许在活动目录中启用任何用户帐户,并且pam_winbind.so似乎没有注意require_membership_of=MYDOMAIN\\mygroup参数。 如果将其设置在/etc/pam.d/system-auth或/etc/security/pam_winbind.conf文件中,则无关紧要。 如何强制winbind来履行require_membership_of设置? 使用CentOS 5.5和最新的软件包。 更新:事实certificate,PAM总是允许root通过auth,凭借它的根。 所以只要帐号存在,root就会通过validation。 任何其他帐户都受到身份validation约束。 更新2: require_membership_of似乎正在工作,除了请求用户具有根用户标识符时。 在这种情况下,不piperequire_membership_of设置如何,login都会成功。 这对任何其他帐户都不是问题。 即使当前用户是root用户,如何configurationPAM来强制进行require_membership_of检查? 目前的PAMconfiguration如下: auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account sufficient pam_winbind.so account sufficient pam_localuser.so account required pam_unix.so broken_shadow password ….. (excluded for […]
我们目前在我们的SSH服务器上使用了2因素身份validation,所以我们在sshd_config(公钥为key,键盘交互是通过PAM处理的2factor)中有“RequiredAuthentications2 publickey,keyboard-interactive” 为了使我们的开发更容易,我们要禁用sftp子系统的2因子要求。 我已经search了“匹配子系统sftp”(比如可用的“匹配组”,在那里我只能在后面定义“RequiredAuthentications2 publickey”,但似乎这是不可能的。 另一件事我看看是否检查PAM,如果有可能为sftp子系统定义一个单独的configuration(这似乎是不可行的,pam的服务总是'ssh'),或者如果我能有东西我的sshd pam conf像“auth [成功= 1默认=忽略] pam_succeed_if.so安静子系统在sftp” 任何提示? (除了另外设置另一个sshd实例只用于sftp)
我试图让OpenVPN通过LDAP将用户通过PAMauthentication到Active Directory服务器。 以下是我的configuration文件的相关部分: /etc/openvpn/server.conf : # … plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so ldap-login /etc/nslcd.conf : uri ldap://prod-adc1.mydomain.local base DC=MyDomain,DC=Local uid nslcd gid ldap /etc/pam.d/ldap-login : auth sufficient pam_ldap.so minimum_uid=1000 use_first_pass auth required pam_deny.so password sufficient pam_ldap.so minimum_uid=1000 use_first_pass password required pam_deny.so 当我尝试进行身份validation时,我在日志中看到以下内容: / var / log / secure : Dec 4 22:22:42 localhost openvpn[25505]: pam_ldap(ldap-login:auth): failed to get […]
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用Kerberos进行身份validation,并使用LDAP(通过sssd )来识别用户。我通过ELB通过多个代理服务器连接到简单AD。 问题 当我将ELBconfiguration为使用TLS作为Kerberos端口时, sssd无法连接到Kerberos服务器,login失败。 没有TLS,它工作得很好,一旦我login没有TLS的证书caching和login继续工作时,我再次打开TLS。 RFC 6251介绍了如何通过TLS传输Kerberos V5,所以假设这应该是可能的,对吗? 我不确定我是否没有正确地执行此操作,或者如果sssd不支持通过TLS的Kerberos。 谷歌search没有产生任何成果,手册页没有任何看似与他们有关的东西。 请注意,我的LDAPS通过ELB完美工作,所以我至less知道我并不完全偏离轨道。 TL; DR如何回答我的问题 告诉我: 在通过TLS或Kerberos设置Kerberos时,我所做的是错误的 sssd不支持通过TLS的Kerberos 错误信息 这是从sssd的输出。 请注意,我编辑了IP地址。 (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307171: Sending request (218 bytes) to MYTEAM.MYCOMPANY.INTERNAL (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307390: Initiating […]
我正在尝试设置Google-Authenticator(谷歌2因素authentication)。 相关的文件是: [root@srv01 ~]# cat /etc/pam.d/sshd #%PAM-1.0 auth required pam_google_authenticator.so auth required pam_sepermit.so auth include password-auth account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the […]
设置: 1)用“passwd -d”命令删除用户的密码 2)用户正在运行cron作业 问题: 每30天一次(默认密码过期策略),cron失败并出现错误 Authentication token is no longer valid; new one required ERROR: failed to open PAM security session: Success ERROR: cannot set security context 我的问题: 有没有办法来防止这种情况发生? 为什么身份validation令牌对于已删除密码的用户已过期?
我在RHEL5盒子的/etc/pam.d/sshd文件中有下面的指令,我有点困惑。 这些指令在那里使LDAP + RADIUS + OTP工作。 我想要做的是告诉pam不要检查用户UID <499的LDAP + RADIUS + OTP,也排除UID = 30027被检查相同。 该指令按预期工作。 它检查UID> = 499,如果是,则跳过(auth足够的pam_unix.so nullok_secure)。 auth [success=1 default=ignore] pam_succeed_if.so uid >= 499 quiet 我很困惑 这应该做LDAP + RADIUS + OTP成功= 1,但不知何故,它仍然工作。 如果是真的,它不应该跳过下一个规则吗? auth [success=1 default=ignore] pam_succeed_if.so uid eq 30027 quiet auth sufficient pam_unix.so nullok_secure auth sufficient pam_radius_auth.so auth required /lib/security/pam_google_authenticator.so forward_pass 虽然我已经得到了想要的东西,但是我对它的逻辑背后感到困惑。 […]
我试图通过LDAP服务器设置Linuxlogin。 除了设置用户的主目录之外,我有一切工作。 LDAP数据库中没有可以映射到homeDirectory属性的参数,我没有权力更改数据库。 有什么办法,我可以configuration它使用像/ home / $ UID,其中$ UID是他们用来login/这是来自LDAP属性uid的用户名? 谢谢。
我在/etc/security/limits.conf有以下几行 * soft nofile 32768 * hard nofile 65536 root soft nofile 32768 root hard nofile 65536 以下每个文件都需要pam_limits.so文件。 /etc/pam.d/common-session /etc/pam.d/cron /etc/pam.d/login /etc/pam.d/sshd /etc/pam.d/su /etc/pam.d/sudo ulimit -nlogin后(以及在启动时启动的服务)显示1024仍然。 我错过了什么?
当用户login到系统并且没有主目录时,我们希望使用pam_mkhomedir创build用户的主目录。 这是一个普遍的做法。 以下是对pam_mkhomedir的简要说明: 如果会话开始时不存在,则pam_mkhomedir PAM模块将创build一个用户主目录。 这允许用户在不使用分布式文件系统或预先创build大量目录的情况下出现在中央数据库(例如NIS,kerberos或LDAP)中。 骨架目录(通常是/ etc / skel /)用于复制默认文件,并为创build设置一个umask。 但是,这是一个运行ZFS的FreeBSD 8.2系统。 我们需要首先执行一个ZFS命令,因为我们需要每个用户一个ZFS文件系统 。 pam_mkhomedir可以做一个mkdir ,但是我们需要做一些类似于zfs create /zpool/home/$USER 。 有谁知道在用户的第一次login会话期间是否可以使用PAM执行命令?