在过去的几天中,我一直在绕开LDAP身份validation,并设法configuration一些Linux系统(CentOS 6和7),以对OpenLDAP服务器(我也安装和configuration)执行SSH身份validation过程。 但是,即使一切正常,但仍然有一些LDAP身份validation过程对我有所帮助。 我不太明白的是,PAM和NSS如何相互配合,以及它们如何相互作用。 经过对这个主题的研究,我得出结论:( 参考 ): NSS提供名称服务机制来获取用户和组名信息; PAM提供了应用软件使用的灵活的authentication机制,因此涉及密码数据交换。 但什么是身份validationstream程? 如何使用我configuration的文件/服务( /etc/nsswitch.conf,/etc/nslcd.conf,/etc/nscd.conf/,/etc/pam.d/password-auth )以及按什么顺序? 注意:如果我从“nsswitch.conf”中删除与shadow数据库相对应的行,authentication过程仍然可以正常工作。 这意味着文件“nsswitch.conf”永远不会用于获取密码查找的来源?
我正在尝试在RHEL 7上设置MFA,并遇到鸡和鸡蛋问题。 如果我在pam中启用MFA,则无法login到设置.google-authenticator文件。 我知道pam中的nullok选项应该允许这个工作和通过,但我没有任何运气。 最终目标是使用可选MFA的publickey ssh访问。 注:如果在启用pam模块之前创build.google-authenticator文件,MFA可以正常工作。 # ssh client debug *snip* Authenticated with partial success. debug1: Authentications that can continue: keyboard-interactive debug3: start over, passed a different list keyboard-interactive debug3: preferred publickey,keyboard-interactive,password debug3: authmethod_lookup keyboard-interactive debug3: remaining preferred: password debug3: authmethod_is_enabled keyboard-interactive debug1: Next authentication method: keyboard-interactive debug2: userauth_kbdint debug3: send packet: type 50 […]
我在运行CentOS 7的两台虚拟机上尝试使用Kerberos。一台虚拟机作为服务器,另一台虚拟机作为用户应该login的客户端主机。 我的完整设置如下所示。 当我创build一个新用户来testing我的设置,这个用户可以SSH(或直接login)到客户端主机,他会自动获得一个Kerberos TGT( klist )。 但是,如果我运行passwd来更改密码,我得到一个错误。 在日志中(通过journalctl ),在对密码更改(使用旧密码)进行身份validation时,会看到以下消息: unix_chkpwd[8790]: password check failed for user (demouser) passwd[8788]: pam_unix(passwd:chauthtok): authentication failure; logname= uid=1001 euid=0 tty=pts/2 ruser= rhost= user=demouser 然后我input新的密码两次,并在日志中获得这些额外的消息: unix_chkpwd[8792]: password check failed for user (demouser) passwd[8788]: pam_unix(passwd:chauthtok): user password changed by another process passwd[8788]: pam_krb5[8788]: password change failed for [email protected]: Cannot contact any KDC […]
我使用OpenLDAP(身份validation和NFS挂载选项),NFS服务器,AutoFS(挂载NFS homedir)和所需的PAM插件进行了工作设置。 一切工作正常,但mkhomedir PAM插件不起作用。 换句话说,homedir不是在第一次login时自动创build的,我得到了以下错误: 8月26日11:21:55 SERVER1 sshd [3981]:pam_mkhomedir(sshd:session):无法创build目录/ home / test2:没有这样的文件或目录 而没有在NFS / LDAP服务器上。 我的/etc/pam.d/common-session文件:会话必需pam_unix.so会话必需pam_limits.so会话可选pam_ldap.so会话必需pam_mkhomedir.so skel = / etc / skel umask = 0022 我的/etc/auto.master文件:/ home ldap://10.0.0.2/ou=export,dc=XXXX,dc=local –timeout = 5 这两个文件都在客户端。 任何想法 ? 问候,
我正在使用LDAP + SSH解决scheme,但是我想问,为什么我必须将libdss root密码存储在libnss_ldap.secret和pam_ldap.secret中? 这似乎是不安全的,有人可以破解一个ldap客户机一个有整个ldap的密码? 我怎样才能避免这一点,是真正需要validation用户的ldappipe理员通行证? 谢谢,马丁
连接到我的OpenVPN服务器时出现以下错误(客户端): AUTH: Received AUTH_FAILED control message 并在服务器上,我得到openvpn日志中的以下错误消息: AUTH-PAM: BACKGROUND: user 'myUsername' failed to authenticate: Module is unknown 该系统是由另一个系统pipe理员(谁现在已经离开),我需要解决这个问题。 所以我不知道这是如何configuration的,但我被告知我们的openvpn是对我们使用winbind的活动目录进行身份validation。 我们最近移动了我们的活动目录服务器,所以这可能是问题所在。 所以: 我怎么能确认openvpn使用winbind来validation用户对我们的活动目录? 如果我更改了活动目录服务器的位置(IP地址),那么我需要在哪里更新openvpn / winbind以使其再次工作? 我还需要寻找或提供哪些其他信息来debugging此问题?
一个有趣的问题,我希望。 我正在debian 6下运行一组虚拟机,来构build一个邮件/协作服务器。 我主要使用dovecot,postfix,openldap和heimdal。 邮件使用maildir存储在NFSv4共享上。 我的用户是系统用户,但使用LDAP和libpam-ldap以及libnss-ldap来caching凭证信息。 一切都如预期般运作,好吧, 差不多 。 由于NFS使用kerberos,所以默认情况下,如果用户没有收到他们的kerberos票据,他们将无法访问他们的邮件存储。 例如,如果我什么都不做,这是我尝试使用任何imap客户端logindovecot时发生的错误: Mar 31 09:33:07 titan dovecot:imap-login:login:user =,method = PLAIN,rip = 127.0.0.1,lip = 127.0.0.1,安全 3月31日09:33:07 titan dovecot:dovecot:致命:chdir(/ home / emails / team / arodier /)失败:权限被拒绝(euid = 1003(arodier)egid = 1001(red2team)失踪+ x perm:/ home /电子邮件) Mar 31 09:33:07 titan dovecot:dovecot:孩子5089(imap)返回错误89(致命故障) 但是,如果我只是在用户“ arodier ”的控制台上login,我看到我已经收到一张票,我可以看到它与klist: 凭证caching:FILE:/ tmp / krb5cc_1001_ywvktf 校长:[email protected] […]
执行Fedora OS升级后,会创build几个.rpmnew文件。 将.rpmnew文件合并为原始文件的正常过程是比较差异,对.rpmnew文件中的configuration进行必要的更改,并用新文件replace原始文件。 但是,/ /etc/pam.d中包含的文件链接的文件的文件名与-ac相同,例如: password-auth链接到password-auth-ac并且具有password-auth.rpmnew作为升级。 我如何去合并这些文件?
OpenSSH_5.8p1,OpenSSL 0.9.8e-fips-rhel5 2008年7月1日 SELinux的政策2.4.6-338.el5 PAM-0.99.6.2-12.el5 SELinux运行在宽容模式下: # sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: disabled Policy version: 21 Policy from config file: targeted 每当我通过sshlogin, /var/log/secure抱怨: sshd[4957]: Accepted publickey for quanta from 192.168.3.40 port 55822 ssh2 sshd[4957]: pam_unix(sshd:session): session opened for user quanta by (uid=0) sshd[4957]: error: ssh_selinux_setup_pty: security_compute_relabel: […]
我即将使用libpam_google_authenticator对sshlogin进行双因素身份validation。 我希望能够放弃这个要求,当用户从某些IP地址login。 我在/etc/pam.d/sshd有这个: auth需要pam_google_authenticator.so 而这在/etc/ssh/sshd_config : ChallengeResponseAuthentication是 我想过在sshd_config使用Match指令,但是联机帮助页build议不能以这种方式使用ChallengeResponseAuthentication 。 无论如何,我不确定这是否会解决pam要求。 有没有一种方法可以免除某些IP地址的客户的挑战 – 响应?