我有我的CentOS 6系统configuration为使用sdd与ldap提供程序。 我能够login并使用sudo,但是/ var / log / secure始终报告身份validation失败:
Sep 18 07:09:52 serverA sudo:pam_unix(sudo:auth):authentication失败; logname = exampleuser uid = 10000 euid = 0 tty = / dev / pts / 1 ruser = exampleuser rhost = user = exampleuser Sep 18 07:09:52 serverA sudo:pam_sss(sudo:auth):authentication成功; logname = exampleuser uid = 10000 euid = 0 tty = / dev / pts / 1 ruser = exampleuser rhost = user = exampleuser
这导致我的SIEM误报。 我认为这个问题是与帕姆。 我使用authconfigconfiguration它。 有没有办法将pamconfiguration为不检查ldap用户的/ etc / passwd(比如X uid以上的用户)还是其他解决scheme?
试着把这一行放在/etc/pam.d/sshd文件的开头。
auth sufficient pam_sss.so
Gabriele和mkzero在正确的轨道上。
做了一些研究,并find了解决办法。 /etc/pam.d/sudo(如上所示)和/etc/pam.d/sshd是会产生双重日志消息的两个来源。 默认情况下,pam先尝试使用pam_unix.so进行身份validation,如果失败,则尝试使用pam_sss.so。 他们都使用包括从其他两个PAM文件拉入设置。 为了摆脱这个错误,订单必须在两个文件中更改:
用以下方式取代auth部分:
auth required pam_env.so auth sufficient pam_sss.so auth requisite pam_succeed_if.so uid < 20000 quiet auth sufficient pam_unix.so nullok try_first_pass auth required pam_deny.so`
pam_succeed_if.so设置为不使用pam_unix用户与我的LDAP用户是20000以上的用户。 如果不填写,则仍会看到来自pam_sss和pam_unix的两条authentication日志消息。