Questions tagged «pam»

因此，我遇到了一个很奇怪的问题。我有一台服务器，当我尝试SSH进入时，如果我第一次尝试输入正确的密码，则会立即关闭连接。但是，如果我在第一次尝试时故意输入了错误的密码，然后在第二或第三次提示时输入了正确的密码，则它成功地将我登录到了计算机中。同样，当我尝试使用公共密钥身份验证时，我会立即获得关闭的连接。但是，如果我为密钥文件输入了错误的密码，然后在输入密码验证后又输入了另一个错误的密码，只要我在第二个或第三个提示符下输入正确的密码，我就可以成功登录。 该机器正在运行Red Hat Enterprise Linux Server 6.2版（圣地亚哥），并且正在使用LDAP和PAM进行身份验证。关于从哪里开始调试此脚本的任何想法？让我知道我需要提供哪些配置文件，我会很乐意这样做。 这是一些调试信息。以下代码块按顺序代表了这3种情况：1）首次尝试时更正私钥密码，2）跳过私钥，首次尝试时更正常规密码，3）跳过私钥，故意输入错误的密码，然后输入好的...这是让我真正联系起来的唯一方案。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" …

13 ssh  ldap  authentication  openldap  pam 

我正在配置一个系统，其中所有IT资源都可以通过一个用户密码对访问，无论是访问服务器上的Shell，登录Samba域，WiFi，OpenVPN，Mantis等（访问受特定服务约束的访问权限）通过组成员身份或用户对象字段）。因为我们的网络中有个人数据，所以我们需要按照欧盟数据保护指令（或更确切地说是波兰语版本）实施密码时效。 问题在于LDAP中的Samba和POSIX帐户使用不同的密码哈希和老化信息。虽然同步密码本身是很容易（在ldap password sync = Yes中smb.conf），添加密码老化进来休息的事情：桑巴不更新shadowLastChange。一起obey pam restrictions = Yes创建一个Windows用户不能更改老化密码的系统，但是如果我不使用它，将不会自动创建主目录。替代方法是使用使用LDAP扩展操作来更改密码，但是smbk5pwd模块也未对其进行设置。更糟糕的是，OpenLDAP维护者不会更新/接受补丁程序，因为此字段被认为已弃用。 因此，我的问题是，最佳解决方案是什么？它们的优点和缺点是什么？ 使用LDAP ppolicy和内部LDAP密码老化？ 与NSS，PAM模块，samba，其他系统配合使用时效果如何？ 是否需要以特殊方式配置NSS和PAM模块才能使用ppolicy，而不是影子？ GOsa²是否适用于政策？ 还有其他管理工具可以与ppolicy启用LDAP一起使用吗？ 整理一个更改密码脚本，以更新LDAP中的字段。（使用户自己可以在不更改密码的情况下更新该字段）

13 domain  authentication  samba  ldap  pam 

许多教程告诉您要像这样配置ssh服务器： ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no 但使用此设置后，您将无法使用PAM，因为我计划对Google Authenticator使用2因子验证（OTP一次性密码），因此我需要PAM。 因此，如果我想防止使用普通密码登录但仍然允许使用PAM，那么如何配置新鲜的debian jessie ssh deamon。 也许确切的问题是如何将pam配置为禁止密码？ PAM验证的详细信息 禁用基于PAM的密码身份验证非常不直观。几乎所有的GNU / Linux发行版（Slackware除外）都需要它，以及FreeBSD。如果您不小心，可以将PasswordAuthentication设置为“ no”，并且仍然只能通过PAM身份验证使用密码登录。事实证明，您需要将“ ChallengeResponseAuthentication”设置为“ no”，才能真正禁用PAM身份验证。FreeBSD手册页有这样的说法，这可能有助于澄清这种情况： 请注意，如果ChallengeResponseAuthentication为'yes'，并且sshd的PAM身份验证策略包括pam_unix（8），则无论密码认证的值如何，都可以通过挑战响应机制来允许密码认证。 http://www.unixlore.net/articles/five-minutes-to-more-secure-ssh.html

13 ssh  debian  pam 

我试图提高ubuntu计算机上所有用户的打开文件描述符最大值。 这个问题是对该问题的后续。 即使需要pam_limits.so，ulimit也不会读取打开文件描述符limits.conf设置 除了我在limits.conf中添加了必需的“ root”条目 这是条目 * soft nofile 100000 * hard nofile 100000 root soft nofile 100000 root hard nofile 100000 与相关的行pam_limits.so已在/etc/pam.d/中的所有相关文件中取消注释，并fs.file-max已在/etc/sysctl.conf中正确设置 但是，我仍然看到 abc@machine-2:/etc/pam.d$ ulimit -n 1024 重新启动后。 可能是什么问题呢？ 我的默认外壳程序是/ bin / sh，并且我无法使用chsh更改我的默认外壳程序，因为通过某种分布式身份验证方案对计算机上的用户进行了身份验证。

13 linux  ubuntu  bash  pam  ulimit 

我正在个人VPS上设置LDAP身份验证，Ubuntu有两个用于相同目的的软件包：libpam-ldap和libpam-ldapd。我应该使用哪个？

13 ubuntu  debian  authentication  ldap  pam 

已关闭。这个问题需要细节或说明。它当前不接受答案。 想改善这个问题吗？添加细节并通过编辑此帖子来澄清问题。 5年前关闭。 遇到权限问题时，我尝试以非root用户“ coins”的身份访问crontab，如以下错误消息中所述，其中提到了pam配置： [coins@COINS-TEST ~]$ crontab -l Authentication service cannot retrieve authentication info You (coins) are not allowed to access to (crontab) because of pam configuration. 此crontab访问问题最常用的解决方法是什么？

12 linux  cron  pam 

升级到CentOS 7后，将无法再通过LDAP登录。在CentOS 6中，我使用了工作正常的软件包pam_ldap，但是现在pam_ldap不再可用于新版本的CentOS。 通过ldapsearch进行连接仍然可以正常工作，但是尝试通过ssh进行身份验证无效。 我重新安装了nss-pam-ldapd软件包，并通过authconfig-tui重新配置了身份验证，但是仍然无法正常工作。 在下面，我将用户名替换为user.name，将基本名称替换为dc = sub，dc = example，dc = org。 我的主机操作系统是CentOS7。已安装所有当前可用的更新。 $ uname -a Linux isfet 3.10.0-123.8.1.el7.x86_64 #1 SMP Mon Sep 22 19:06:58 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux 已安装的套件 $ rpm -qa | grep -i ldap openldap-2.4.39-3.el7.x86_64 nss-pam-ldapd-0.8.13-8.el7.x86_64 openldap-clients-2.4.39-3.el7.x86_64 /etc/openldap/ldap.conf的内容 URI ldap://172.16.64.25 BASE dc=sub,dc=example,dc=org /etc/nslcd.conf的内容 ldap_version 3 …

11 centos  ldap  authentication  pam 

我已经成功地使用了vsftpd和虚拟用户，这些用户通过PAM连接到我的mysql数据库。现在，我想通过成功的vsftpd连接自动创建用户目录。 这是/etc/pam.d/vsftpd配置： #%PAM-1.0 session optional pam_keyinit.so force revoke auth required pam_mysql.so verbose=1 user=root passwd=mypass host=localhost db=mydb table=mytable usercolumn=username passwdcolumn=password crypt=3 account required pam_mysql.so verbose=1 user=root passwd=mypass host=localhost db=mydb table=mytable usercolumn=username passwdcolumn=password crypt=3 session required pam_mkhomedir.so skel=/home/skel/ umask=0022 debug 现在添加pam_mkhomedir仅显示它无法在任何日志中没有其他消息的情况下创建目录。因此，显然不适用。我还有什么需要的吗？ 我的/etc/vsftpd/vsftpd.conf： # No ANONYMOUS users allowed anonymous_enable=NO # Allow 'local' users …

11 mysql  permissions  ftp  pam  vsftpd 

//更新于2月8日-简短的未解决问题： 如何用与文件不同的方式屏蔽目录？ 如何在Nautilus复制/粘贴上屏蔽？ 如何为SSHFS设置umask？ 我们的情况 我们公司的几个人登录到服务器并上传文件。他们都需要能够上传和覆盖相同的文件。他们具有不同的用户名，但都属于同一组。但是，这是一个Internet服务器，因此“其他”用户通常应具有只读访问权限。所以我要拥有的是这些标准权限： 文件：664 目录：771 我的目标是所有用户都不必担心权限。服务器的配置方式应使这些权限适用于所有新创建，复制或覆盖的文件和目录。只有当我们需要一些特殊权限时，我们才手动更改此权限。 我们通过Nautilus中的SFTP-ing，通过使用sshfs挂载服务器并在Nautilus中将其视为本地文件夹来访问服务器以及在命令行中通过SCP-ing将文件上传到服务器。这基本上涵盖了我们的处境以及我们的目标。 现在，我已经阅读了许多有关美丽的umask功能的内容。据我了解，umask（与PAM一起）应该允许我完全按照自己的意愿进行操作：为新文件和目录设置标准权限。但是，经过许多小时的阅读和反复试验后，我仍然无法正常工作。我得到许多意外的结果。我真的很想对umask有所了解，并且有很多未解决的问题。我将在下面发布这些问题，以及我的发现和对导致这些问题的试验的解释。考虑到很多事情似乎出错了，我认为我做错了几件事。因此，存在许多问题。 注意：我使用的是Ubuntu 9.10，因此无法更改sshd_config来设置SFTP服务器的umask。已安装SSH OpenSSH_5.1p1 Debian-6ubuntu2 <必需的OpenSSH 5.4p1。因此，在这里提出问题。 1.我需要重新启动PAM更改才能生效吗？ 让我们从这个开始。涉及的文件太多，我无法弄清楚什么会影响事物，什么不会影响事物，也是因为我不知道是否必须重新启动整个系统才能使PAM更改生效。我没有看到预期的结果就这样做了，但这真的有必要吗？还是可以仅从服务器注销然后重新登录，新的PAM策略应该有效吗？还是有一些“ PAM”程序需要重新加载？ 2.是否有一个要更改的文件，它会影响所有用户的所有会话？ 因此，当我阅读了许多不同的内容时，最终更改了许多文件。我最终在以下文件中设置了umask： ~/.profile -> umask=0002 ~/.bashrc -> umask=0002 /etc/profile -> umask=0002 /etc/pam.d/common-session -> umask=0002 /etc/pam.d/sshd -> umask=0002 /etc/pam.d/login -> umask=0002 我希望此更改适用于所有用户，因此最好在系统范围内进行某种更改。可以实现吗？ 3.毕竟，这是UMASK事情，它能起作用吗？ 因此，在所有可能的位置将umask更改为0002后，我都会运行测试。 ------------ SCP ----------- 测试1： scp testfile (which …

11 ssh  permissions  sftp  pam  umask 

我想配置securetty以限制root直接访问。现在我很清楚是否添加： auth required pam_securetty.so 进入/etc/pam.d/system-auth，并仅在/ etc / securetty中保留“控制台”，ssh登录也将被禁止。如果我添加： auth required pam_securetty.so 进入/etc/pam.d/login，并仅在/ etc / securetty中保留“控制台”，则不会禁止ssh登录。 现在，我不太清楚/etc/pam.d/login和/etc/pam.d/system-auth之间的区别。谁能给我一些参考或指导？非常感谢！ PS /etc/pam.d/login与./etc/pam.d/system-auth相比 ，它也提供了一些信息，但是我想获得更多信息，以使我更加清楚。

11 linux  security  rhel5  pam 

我正在使用vsftpd设置服务器，以允许虚拟用户访问其空间。现在它可以完全工作，但仅使用CRYPT密码。所以 sudo htpasswd -c /etc/vsftpd/ftpd.passwd phpmyadmin 不允许我登录，但是 sudo htpasswd -c -d /etc/vsftpd/ftpd.passwd phpmyadmin 将。 /etc/vsftpd.conf listen=YES anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 nopriv_user=vsftpd virtual_use_local_privs=YES guest_enable=YES user_sub_token=$USER local_root=/var/www/vhosts/$USER.universe.local chroot_local_user=YES hide_ids=YES guest_username=vsftpd /etc/pam.d/vsftpd auth required pam_pwdfile.so pwdfile /etc/vsftpd/ftpd.passwd crypt=2 account required pam_permit.so crypt=2 我从源代码以及PHP安装了apache2.4.3。 我尝试过的事情： 谷歌很多 设置crypt = 2 问朋友们 使用SHA（也不起作用） 更新htpasswd和vsftpd 我已经为此奋斗了一个星期，希望你们能进一步帮助我

10 ftp  pam  vsftpd  md5 

我有一个有效的AD / Linux / LDAP / KRB5目录和身份验证设置，但有一个小问题。禁用帐户后，SSH公钥身份验证仍允许用户登录。 显然，kerberos客户端可以识别禁用的帐户，因为kinit和kpasswd返回“客户端凭证已被撤消”，而无需进一步的密码/交互。 是否可以将PAM配置为sshd_config（在sshd_config中使用“ UsePAM yes”），以禁止登录已禁用帐户（通过公用密钥进行身份验证）？这似乎不起作用： account [default=bad success=ok user_unknown=ignore] pam_krb5.so 请不要在您的答案中引入winbind-我们不使用它。

10 linux  active-directory  kerberos  pam 

我正在使用sshd，并允许使用公钥身份验证登录。 我想允许选择的用户使用PAM两因素身份验证模块登录。 有什么方法可以允许特定用户使用PAM两因素身份验证？ 同样，我只想为特定帐户启用密码验证。我希望我的SSH服务拒绝密码验证企图阻挠想成为黑客进入以为我不会接受密码验证-除了其中有人知道我的戒备森严的秘密账户，该账户的情况下是启用密码。对于我的SSH客户端不允许我执行密钥或两因素身份验证的情况，我想这样做。

9 linux  ssh  pam 

我目前正在努力限制我致电给用户的进程数sandbox。 我在内部配置了进程限制，/etc/security/limits.conf如下所示： sandbox hard nproc 100 但是，如果我想以sandbox用户身份连接到容器，则ssh返回： shell request failed on channel 0 因此，我以的身份登录root并检查了sandbox用户正在运行多少个进程，但少于5个。 那么，是什么让我无法通过ssh登录？ 在没有设置限制的情况下，sandbox用户的ssh登录正常。 还是有其他方法可以防止叉子炸弹袭击？

8 ssh  pam  containers  docker 

红帽建议我在/etc/nsswitch.conf中使用compat模式作为枚举LDAP用户的选项之一，但后来表示这不是一种常用的方法。 nsswitch.conf passwd: files compat passwd_compat: ldap in passwd file, add +@netgroup. 什么是兼容模式？

8 redhat  ldap  pam  pam-ldap  nsswitch.conf