我有以下nfs导出: /home/users 192.168.1.0/24(rw,sec=krb5p,no_subtree_check,nohide,async,anonuid=65534,anongid=65534) 当试图挂载到客户端时,我得到: client:/home # mount -t nfs4 -o sec=krb5p server:/home/users /home/users -vvv mount.nfs4: timeout set for Sun May 12 21:13:56 2013 mount.nfs4: trying text-based options 'sec=krb5p,addr=192.168.1.2,clientaddr=192.168.1.62' mount.nfs4: mount(2): Permission denied mount.nfs4: access denied by server while mounting server:/home/users 在服务器syslog我得到: May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: NEEDED_PREAUTH: […]
我们有一个前端节点的集群,允许普通用户和LDAP用户。 前两天ssh显示出一个奇怪的行为: LDAP用户无法使用密码login到前端节点 但是, LDAP用户如果在authorized_keys中设置了ssh-key,则可以login 普通用户 (没有LDAP,/ etc / passwd)可以login没有问题 其他服务使用相同的LDAP服务器正常工作 所以,我认为是位于前端节点的问题。 LDAP似乎工作,使用getent [passwd|shadow]命令我们得到所有用户。 同时,当我们从这个节点login到其他节点时,ssh显示一个警告/错误。 但它也允许ssh: [root@frontnode ~]# ssh othernode /etc/ssh/ssh_config line 50: Unsupported option "GSSAPIAuthentication" [root@othernode ~]# 另外,当我重新启动ssh守护进程时,我们也有与GSSAPI有关的错误: [root@frontnode ~]# service sshd restart Stopping sshd: [ OK ] Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials /etc/ssh/sshd_config line […]
我有SSSD设置LDAP身份validation,我可以通过控制台和SSHlogin很好。 但是,当我尝试通过KDMlogin时,它只是表示身份validation失败…更具体地说: Jan 9 10:29:11 adams20420 sssd[be[default]]: Failed to set LDAP SASL nocanon option to true. If your system is configured to use SASL, LDAP operations might fail. Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM pam_parse: expecting return value; […sufficeint] Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM unable to dlopen(/lib64/security/pam_console.so): /lib64/security/pam_console.so: cannot open shared object […]
我试图设置我的VPS,所以我可以使用Thunderbird IMAP来pipe理我的邮件。 首先,我安装了postfix并按照本指南创build了一个SSL证书。 然后,我安装了sasl2-bin和courier-imap-ssl并find了这个(德文)指南来设置SASL。 即使是德国人,你仍然可以看到我所做的显示的命令。 在Courier安装之后,Thunderbird终于接受了我的configuration,问我是否会信任我接受的证书。 *但是无法login。只要查看/var/log/mail.info ,每当Thunderbird尝试进行身份validation时,都会logging下面可以find的内容,“admin”是我的用户名。 Nov 19 22:55:19 vps imapd-ssl: chdir Maildir: No such file or directory Nov 19 22:55:19 vps imapd-ssl: admin: No such file or directory 不过,我可以validationPAMvalidation是否有效。 admin@vps:~$ sudo testsaslauthd -f /var/run/saslauthd/mux -u admin -p 'mypassword' 0: OK "Success." 任何线索高度赞赏。 *信使已经创build了自己的证书,所以我甚至不确定手动生成的证书是否真的在某个地方使用。 它仍然被configuration为在/etc/postfix/main.cf使用。 编辑 :我意外地混淆了赛勒斯与信使。 我实际上已经安装了快递。 Per @masegaloeh的请求,你可以find下面的configuration。 postconf -n alias_database […]
我将一个邮件服务器从一个CentOS 6移到另一个。 我用sasl pamauthentication使用sendmail。 当我尝试发送邮件时失败,因为用户没有通过身份validation,邮件客户端不需要密码。 新老服务器上的所有configuration文件都是相同的。 我用telnet(新服务器)testing了这个: # telnet localhost 25 Trying 127.0.0.1… Connected to localhost. Escape character is '^]'. 220 new.mldb.org ESMTP Sendmail 8.14.4/8.14.4; Wed, 4 Feb 2015 14:05:18 +0100 ehlo localhost 250-new.mldb.org Hello localhost.localdomain [127.0.0.1], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-STARTTLS 250-DELIVERBY 250 HELP 旧服务器: Trying 127.0.0.1… Connected […]
我正在使用openldap,nslcd和nss-pam-ldapd。 我想限制用户login到LDAP客户端。 我已经在centos6.5中configuration了这个没有任何问题使用groupdn。 但是在7中,没有pam_ldap.conf文件。 我尝试通过在nslcd.conf中添加以下行来执行此操作: filter passwd(memberOf = cn = groupname,ou = groups,dc = example,dc = com) 但即使他是该组织的成员也不会让任何人login。 我怎么解决这个问题? 我安装sssd并configuration如下nut仍然每个人都可以login,即使他不是提到的组的成员。 当我尝试login时,没有日志写入sssd.log和/ var / log / messages。 我可以使用“nslcd -d”来检查nslcd日志。 sssd.conf: [SSSD] config_file_version = 2 服务= nss,pam domains = example.com debug_level = 10 [NSS] [PAM] [域/ example.com] ad_server = app.example.com ad_domain = example.com sssd-ldap = app.example.com ldap_access_order […]
我目前的情况是,我可以使用ldap和pam成功进行身份validation,也成功使用pam_mkdir /home文件系统中的/home目录。 现在我试图实现的是自动创build相同的主目录,但在自动安装的nfs导出上。 自动安装工作正常,并且homes根目录是正确可及的。 目的是避免手动在nfs上创build家园。 我花了两天时间在潜伏,但是我没有把所有的信息合并在一起。 我仍然有这样的问题: 可以pam_mkdir通过nfs创build目录? 如果安装的homespath不是标准的(例如家庭安装到/mnt/nfs/homes ),那么pam_mkdir如何知道? 使用homeDirectory LDAP属性? 我应该在用户创build后触发LDAP服务器上的创build吗? 我是否在解决一个更简单的问题?
我有一个脚本运行从/etc/pam.d/sshd调用以下行: session optional pam_exec.so /usr/local/bin/notify-login 每当有人通过sshlogin时,脚本就会按预期调用。 但自2016年8月以来, $PAM_RHOST env var不再被设置。 我无法find解释此行为的更新日志中的内容。 有人可以请给我一个提示在哪里看或给我一个解决scheme如何解决或解决这个问题?
我已经安装了pam radius rpm包,并成功configuration了/etc/pam.d/sshd,/ etc / ssh / sshd_config和/etc/pam_radius.conf。 我知道它正在工作,因为我input密码后正在向我的手持设备发送推送通知。 当我批准推送通知时,我可以login。我担心的是,如果我没有通过带外通知回复,为什么我不提示inputvalidation码。 更奇怪的是,在我们基于debian的系统(Ubuntu)上,它按预期工作。 似乎只有基于redhat的系统有问题。 当前行为:我只能响应带外确认2FA身份validation。 如果我没有回应,我会再次提示input密码,而不是validation码。 CentOS 6的屏幕截图 预期行为:如果我无法响应带外通知(即飞行模式中的电话),ssh应该进行故障转移并提示“validation码” Ubuntu屏幕截图 提前致谢。 的/ etc / SSH / sshd_config中 ChallengeResponseAuthentication yes UsePAM yes 上将/etc/pam.d/sshd #%PAM-1.0 auth sufficient pam_radius_auth.so 日志文件/ var / log / secure Jan 12 17:26:51 mddirector sshd[9242]: pam_radius_auth: Got user name username Jan 12 17:26:54 mddirector sshd[9242]: […]
回到Redhat 9的时代,我使用使用telnetlogin到服务器的哑terminal来build立networking。 只需删除用户的/ etc / passwd中的“X”,用户就可以仅以用户名login。 这允许工作站的简单操作。 安全不是一个问题。 Linux服务器位于同一地点,并且不会被锁住 – 所以任何有恶意意图的人都可以完全访问系统。 但是,仅以其用户名login的用户将通过login脚本发送到应用程序,并在退出应用程序时自动注销。 互联网访问仅在非标准高端口上使用密码保护的SSH。 近几年来,我一直在使用Ubuntu的服务器,我还没有能够消除密码的要求。 我能做的最好的是允许一个空密码,但是用户在input用户名之后仍然需要按Enter键来提交空密码。 我现在计划在明年更换Redhat 9服务器给Ubuntu Lucid Lynx,并希望像以前一样保持旧的哑terminal正常运行。 有人能告诉我如何调整/etc/pam.d中的configuration文件,以模拟旧的RH9 telnet行为,同时仍然保持Internet访问的安全?