服务器 Gind.cn

Articles of pam

LDAP:每次login都被迫更改root密码

我终于把我的新服务器configuration为我现有的LDAP客户端。 现在,每次我以root身份login时,系统都会提示更改我的“LDAP密码”: login as: root [email protected]'s password: You are required to change your LDAP password immediately. Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 2.6.32-042stab090.3 i686) * Documentation: https://help.ubuntu.com/ Last login: Fri Jul 4 15:45:24 2014 from xxxxxx.xxxxx.xxxxx.de Changing password for root. (current) UNIX password: Enter new UNIX password: Retype new UNIX password: root@ubuntuserver:~# 我使用“pam-auth-update –force”来禁用了LDAPauthentication,但是我仍然在每个rootlogin上都得到相同的提示。 我的“/val/log/auth.log”是完整的空白。 […]

使用pam_mount模块挂载NFS共享

我正在设置Windows 2012 R2 Server用作域控制器和文件服务器的教室环境。 所有的客户将是Kubuntu 14.04。 我已经在服务器上设置了域和NFS共享。 我可以在客户端机器上手动挂载共享,但是当用户login时,我正尝试configuration客户端以使用pam_mount自动挂载共享。 在客户机上,showmount命令列出共享。 用户join到域中,并在AD中可见。 我可以手动安装共享,但是尽pipe遵循了许多在线教程,但我似乎无法获得我的pam_mount.config.xml文件中字段的正确语法,但我收到一条错误消息: mount.nfs: an incorrect mount option was specified 来自我的pam_mount.conf.xml的卷线: <volume fstype="nfs" server="INSTRUCTOR.mydom.lan" path="/%(USER)" mountpoint="/home/%(USER)" user="*" options="workgroup=mydom.lan,uid=%(USER),dir_mode=0700,file_mode=0700,nosuid,nodev" /> 我打开了debugging,这里是输出: branch@branch-compaq:/$ su p1001 Password: (pam_mount.c:365): pam_mount 2.14: entering auth stage (pam_mount.c:568): pam_mount 2.14: entering session stage (mount.c:267): Mount info: globalconf, user=p1001 <volume fstype="nfs" server="INSTRUCTOR.mydom.lan" path="/p1001" mountpoint="/home/p1001" cipher="(null)" […]

有没有人用sssd使用access.conf和netgroup身份validation?

我希望能够根据用户的LDAPnetworking组成员身份validation用户(通过ssh)到特定的主机组。 LDAP服务器是dsee7。 发行版是OEL 6.5,以openldap作为客户端。 我们不想使用LDAP进行身份validation的唯一帐户是root用户。 sssd.conf看起来像这样: [sssd] config_file_version = 2 services = nss,pam,autofs domains = default [nss] filter_groups = root filter_users = root reconnection_retries = 3 entry_cache_timeout = 300 entry_cache_nowait_percentage = 75 [pam] [domain/default] auth_provider = ldap ldap_id_use_start_tls = True chpass_provider = ldap cache_credentials = True ldap_search_base = dc=e-durp,dc=com id_provider = ldap ldap_uri = ldaps://lvl1.lvs01.edurp.com/ […]

是否可以在本地validation一个组或帐户,绕过LDAPauthentication?

我们有一个RAC机器集群,其中一对用户(oracle和grid)的本地UID:GID与LDAP中那些相同用户的UID:GID不匹配。 最终,我们应该改变群集中每个系统上的这两个用户的UID和GID(以及所有文件的所有权),但要做到这一点很困难。 另外,这两个用户需要能够通过networking从每个节点到群集中的每个其他节点进行authentication。 只是禁用这些用户的远程身份validation不是一个选项。 有什么办法可以禁用服务器上的特定组或用户的LDAP查找? 也许使用/etc/security/access.conf或PAM设置? 这些是Oracle Linux服务器。

FreeRadius-GoogleAuthenticator-Kerberos密码更改奇怪

我们使用FreeRadius,Kerberos和Google Authenticator来实现双因素身份validation。 这两个因素auth从radtest和Watchguard防火墙都能正常工作。 要login,用户inputKerberos密码并连接Google Authenticator提供的PIN。 Radius使用pam与GAuth交谈,然后使用Kerberos。 帕姆堆栈是 /etc/pam.d/radiusd auth requisite pam_google_authenticator.so forward_pass auth required pam_krb5.so use_first_pass forward_pass指令告诉pam_google_authenticator.so删除尾随的六个字符,validation它们,然后将剩余的string作为密码传递给下一个步骤。 当Kerberos策略超时密码,需要重置(或在主体上设置+ needchange)时,会出现问题。 发生这种情况时,不通知用户。 他们正常input密码并locking,并被允许进入。后台的某些内容会将Kerberos密码更新为旧密码加上附加的引脚(例如mypasswrd123456)。 我已经validation了这个新密码实际上存在于Kerberos数据库中,可以用于进一步的身份validation,但是当然您需要意识到发生了更改并保存了组合的string。 在生产中不太可能发生。 我一直无法find正在做什么改变。 唯一的日志消息是确认密码已更新。 似乎Kerberos必须警告Radius需要更改,Radius会看到它有一个新的密码并将其传回。 我试过添加 password required deny.so 到/etc/pam.d/radiusd,但没有帮助。 OS是Ubuntu,并且软件包是用apt-get安装的。 任何想法赞赏。

在su之后审计auid变化

我尝试使用selinux和audit.log来实现我的RHEL系统的个人责任。 我按照这里给出的指示: 在生产服务器上loggingpipe理员运行的所有命令 如果我理解正确,pam_loginuid.so应该保留用于login的UID并将其设置为audit.log文件中的AUID。 不幸的是, 苏之后不起作用。 当我login到系统并调用cat / proc / self / loginuid时,它显示我的正确的UID。 如果我调用sudo su –并再次调用cat / proc / self / loginuid ,它将显示0.同样,在sudo su –之后调用的命令,在audit.log中使用ID 0作为AUID。 我在这里做错了什么? 这是我的pam.d / sshd文件: auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_loginuid.so session include system-auth 我在/etc/grub.conf中启用了audit = 1,并按照上面的post所述编辑了/etc/audit/audit.rules。

pwauth Kerberos身份validation,指定默认和辅助服务器

我正在使用pwauth和mod_auth_external在Apache上使用Kerberos身份validation进行基本身份validation。 我想添加多个服务器进行身份validation,但是他们必须指定其他服务器类似于login到一个窗口的计算机。 如果它是默认的服务器,那么他们不必指定一个域名。 我将如何去完成这个? 谢谢! 例: default-server.local有user1。 other-server.local有user2。 user1可以通过简单的绑定user1 / pass来login到apache的Basic Auth。 但是,对于用户2,他们将不得不键入other-server.local \ user2这将允许身份validation。 这对于打入require user .htaccess的require user来说又是如何工作的?

从ssh或控制台login时,pam_mount不起作用

好吧,所以我configuration了我的centos 6机器上的pam_mount,就像我在7和5机器上所做的一样。 但是,当我login本地或通过SSH,pam_mount无法安装我的主目录。 当我用本地用户login,并su到需要hmoe的用户安装pam_mount工作正常,并安装主目录。 我得到的错误,当我ssh或从控制台login在/var/log/messages : Feb 13 14:27:52 centosy sshd[1224]: pam_mount(mount.c:64): Errors from underlying mount program: Feb 13 14:27:52 centosy sshd[1224]: pam_mount(mount.c:68): mount error(13): Permission denied Feb 13 14:27:52 centosy sshd[1224]: pam_mount(mount.c:68): Refer to the mount.cifs(8) manual page (eg man mount.cifs) Feb 13 14:27:52 centosy sshd[1224]: pam_mount(pam_mount.c:521): mount of tomas failed Feb 13 14:27:52 […]

如何在Linux上过滤ldap用户login?

我有几个Linux服务器(Ubuntu的12.04)设置来validation外部(到我的分支机构)LDAP(Novell Edirectory专门)的用户login。 这是行之有效的,但是我正在尝试通过LDAP组中的成员来过滤用户login。 Edir中的用户帐户如下所示: dn: cn=mmcloud,ou=eng,o=lsi loginShell: /bin/bash homeDirectory: /home/mmcloud gidNumber: 2001 uidNumber: 9418 mail: xxxxxx@xxxxxxxxx uid: mmcloud initials: Q givenName: Moran sn: McCloud objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: ndsLoginProperties objectClass: Person objectClass: Top objectClass: posixAccount eMailAddress: 7#xxxxx@xxxxxxxxxxxx cn: mmcloud 在Edir中有一个小组条目: dn: cn=shellacct,ou=groups,ou=eng,o=lsi memberUid: jbarlin memberUid: mmccloud memberUid: ssemryn memberUid: cdesmon gidNumber: 2009 objectClass: groupOfNames […]

检查使用pam_access时是否允许帐户

我使用pam_access和/etc/security/access.conf来限制谁可以login到我的Rhel 6.5主机。 我有一个具有不同用户群的LDAP服务器,安全人员想要一个谁可以login的列表。 我需要一个可缩放的方式来检查一个帐户是否可以login到主机。 getent密码,身份证,手指,组和我试过的每一个工具返回相同的输出,如果一个帐户被限制login或不。 passwd -S似乎不适用于LDAP帐户。 有没有办法来检查给定的帐户是否有login权限? 在Solaris上,如果用户或networking组不在/ etc / passwd中,那么这些工具都不能识别受限帐户,但在Linux上似乎完全相反。 谢谢! 编辑:这是/etc/pam.d/system-auth的帐户部分: account required pam_access.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so 我的木偶configuration只能做以下可能改变pam设置。 /usr/sbin/authconfig –enablemkhomedir –updateall /usr/sbin/authconfig –enablekrb5 –updateall /usr/sbin/authconfig –enablepamaccess –updateall /usr/sbin/authconfig –enablesssd –updateall /usr/sbin/authconfig –nisdomain=domainname.corp –updateall […]
Intereting Posts
使用目录将客户移动到不同的代码库? 如何将Linode恢复到Vagrant VM? CIFS和NFS:权限和基础文件系统 从安全的位置运行PHP脚本 如何设置运行在pfSense上的OpenVPN的WINS服务器? 使用路由表和OpenVPN桥接两个VPN 文件大小超过限制后,Logrotate不旋转文件。 Apache2虚拟主机服务于未指定的域 如何正确“奉献”第二块网卡而不会引发暴风雨? 如何让Mac OS X的本地Apache / PHP安装访问WebServer目录? 什么数据库容易维护和pipe理在一个集群? 为什么不“timedatectl list-timezones”列出所有的时区? P7B文件和CER文件,我需要他们两个 无法删除Exchange 2007上的公用文件夹副本 用PostgreSQL设置trac – 如何设置编码为UTF8?