タグ付けされた質問 「pam」

私のサーバーの1つで、SSHログインが本当に遅れていることに気付きました。 遅延が発生するssh -vvvオプションを使用して接続する debug1: Entering interactive session. 接続の抽出： debug1: Authentication succeeded (publickey). Authenticated to IP_REDACTED ([IP_REDACTED]:22). debug1: channel 0: new [client-session] debug3: ssh_session2_open: channel_new: 0 debug2: channel 0: send open debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug2: callback start debug2: fd 3 setting TCP_NODELAY debug3: packet_set_tos: set IP_TOS 0x10 …

39 ssh  debian  pam  systemd 

PAMが登場して以来、私はPAMが嫌いです。 Debian Squeezeで管理者レベルでPAMデバッグを有効にするにはどうすればよいですか？ 見つけたすべてのリソースを確認しました。Google、マンページ、何でも。まだ試していない唯一のこと（私はあえてPAMが嫌いだと言ったのですか？）は、PAMのライブラリソースを掘り下げることです。 私は解決策を求めてグーグルを試みましたが、何もしませんでした。私がこれまでに見つけたもの： http://www.bitbull.ch/wiki/index.php/Pam_debugging_funktion（/etc/pam_debug）と http://nixdoc.net/man-pages/HP-UX/man4/pam.conf.4.html（debugPAMエントリのオプションで/etc/pam.d/）。 いいえ、動作しません。 PAM出力なし、無音、完全な無音。 解決策を探している間、私はドイツのガソリンスタンドであるパムへのリンクをたどりました。まあ、はい、おそらくこれらの数十億のヒットすべてで手がかりを隠すかもしれませんが、私を発見する前に私を撃ちます 残りは参考です： どのような問題がありましたか？ Debian Squeezeにアップグレードした後、何かがおかしくなりました（まあ、かつて、それはEtchのすぐ上にあったものでした..ああ、そう、ウッディ）。おそらく、Debianのせいではなく、長続きするねじ込みセットアップです。すぐにPAMで何かをする必要があるという印象を受けましたが、何が起こっているのか本当に分かりませんでした。私は完全に暗闇の中で、放置されたまま、赤ちゃんのように無力でした、YKWIM。いくつかのsshログインが機能し、一部は機能しませんでした。ちょっと面白かった。何の手がかりもssh -v、何の手がかりも/var/log/*ありません。単に「認証成功」または「認証失敗」、同じユーザーが並行してログインすることで、一方のセッションで成功し、他方のセッションで同時に失敗することもありました。そして、あなたが本当に手に入れることができるものは何もありません。 他の選択肢の列車を掘った後、私は見つけることができました。あるnullokとnullok_secureDebianの特別は、。何かをねじ込み/etc/securettyとに応じて、ttyログインは拒否されたりされなかった（ややランダムです）。本当にすてきです、ふー！ 修正は簡単で、すべてが再び正常になりました。 しかし、これにより、このような混乱を将来どのようにデバッグするかという疑問が残りました。PAMが私を夢中にさせるのは初めてではありません。だから私は最終的な解決策を見たいです。「armageddon」のような最終ではなく、「solved」のような最終。ありがとう。 ああ、ところで、これはPAMが登場して以来嫌いだというのが私の信念を再び強めました。私が言ったことはありますか？

34 syslog  pam  debug 

Webサーバーを実行するために使用するvpsがありますが、現在はubuntuサーバー12.04を実行しています。数週間以来、sshコンソールで多くのエラーが発生し続けています。 2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; …

32 ubuntu  ssh  pam 

悪意のあるSSH試行の失敗から「ユーザー」について何を学ぶことができますか？ 入力されたユーザー名（/var/log/secure） 入力されたパスワード（構成されている場合、つまりPAMモジュールを使用して） 送信元IPアドレス（/var/log/secure） 他に何かを抽出する方法はありますか？ログファイル、ランダムトリック、またはサードパーティのツールなどから隠された情報かどうか

24 linux  ssh  logging  pam  hacking 

VMで初期化中に、公開鍵認証を使用してSSHで1人の非rootユーザー（admin）としてログインできますが、別のユーザー（）としてはログインできませんtbbscraper。ログファイルで見つかるエラーメッセージは Sep 18 17:21:04 [REDACTED] sshd[18942]: fatal: Access denied for user tbbscraper by PAM account configuration [preauth] クライアント側では、シンドロームは $ ssh -v -i [REDACTED] tbbscraper@[REDACTED] ... debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey debug1: Next authentication method: publickey debug1: Offering public key: [REDACTED] debug1: Authentications that can continue: publickey …

24 ssh  remote-access  pam 

2要素認証でサーバーを管理しています。通常のサーバーパスワードを入力した後に入力する6桁の確認コードを取得するには、Google Authenticator iPhoneアプリを使用する必要があります。セットアップについては、http：//www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.htmlをご覧ください。 iPhoneではなく、ラップトップだけを使用して確認コードを取得する方法が必要です。これらの検証コードを生成し、現在の30秒ウィンドウのコードを提供するコマンドラインアプリをシードする方法が必要です。 これを行うことができるプログラムはありますか？

23 ssh  authentication  pam 

最後の日、LDAP認証を使用してLinuxシステムをセットアップしましたが、すべてが正常に機能しますが、NSSとPAMについては、多くの調査の結果、まだ理解できないことがあります。 引用： NSSにより、管理者は、認証ファイル、ホスト名、およびその他の情報を保存および検索するソースのリストを指定できます そして PAMは、アプリケーションおよび基盤となるオペレーティングシステム用の構成可能な認証プラットフォームを提供するライブラリのセットです。 私が理解していないのは、PAMとNSSがどのように連携し、相互作用するかです。で、この本アーキテクチャはかなりよく説明されている：私のconfigure PAMを使用するpam_ldapLDAPを占め、のためにpam_unixローカルアカウントのために、そして私configureはnsswitch.confローカルファイルとLDAPから情報を取得します。 LDAPが2回使用されていることを正しく理解している場合：最初にpam_ldap、次にNSSによって呼び出されpam_unixます。そうですか？LDAPは本当に2回使用されていますか？しかし、なぜNSSとPAMの両方を構成する必要があるのですか？私の説明では、PAMはNSSとは異なるタスクを実行し、他のプログラムで使用されています。ただし、このページで読んだように、NSSのみまたはPAMのみを使用することが可能です。 だから私は少し実験して、最初にLDAPを削除しようとしましたnsswitch.conf（そして、pam_ldapだけでは仕事をするのに十分ではないかのように動作するために認証が停止しました）。次に、NSSでLDAPを再度有効にし、PAM構成から削除しました（今回は、役に立たず、NSSでユーザーを認証するのに十分であるかのようにpam_ldap、すべて正常に機能しました）。 これを明確にするのを手伝ってくれる人はいますか？事前に感謝します。 更新 私は今、何かを試しました。pam_ldapすべてのPAM設定フィールドのすべてのエントリを再度削除しshadow: ldap、からも削除しましたnsswitch.conf。：今のようすべてのシステムでのみ行があるpasswd: ldap filesとgroup: ldap filesではnsswitch.conf。さて... LDAPユーザーのログインは完璧に機能/etc/ldap.confします。LDAP認証を設定するには、これら2行（プラス）で十分です。 NSSから独立した私の知識PAMからですが、私のテストではそうではありませんでした。自分自身に尋ねる私はそう完全に無効NSSすることが可能であり、唯一のPAMを使うのか？

21 ldap  authentication  pam  nss 

Ubuntu 10.04 Serverを使用しています。

18 ubuntu  active-directory  samba  cifs  pam 

私は新しいボックスでSSHのキーベース認証を設定UsePAMしnoていPasswordAuthenticationます。 私の質問は、設定の目的が何であるか、であるUsePAMにnoあなたが既に持っている場合PasswordAuthenticationとChallengeResponseAuthenticationに設定no？

18 security  ssh  pam 

サーバー：RHEL 5.9 / smbd 3.0.33-クライアント：さまざまですが、すべてが現在のmount.cifs（5.2）を使用していました 私はすでにこの問題を解決しましたが、これらのエラーコードを追い詰めるのは非常に悪夢でした。 症状：特定のcifsクライアントからlinux sambaサーバーへの予期しない断続的なマウント障害。ログイン時のすべてのLinuxクライアントpam_mountユーザーホーム。ランダムに、そして散発的に、ホームディレクトリのマウントが1台のマシンで失敗し始めました。ログインとマウントは、他のすべてのクライアントで問題なく動作し続けました。当初、壊れたクライアントでの異常な量のアクティビティがsmbdをフリークさせると考えていましたが、使用が停止した後でも断続的な障害が長引きました。 手動でマウントしようとすると失敗し、報告されます： Errors from underlying mount program mount error(12): Cannot allocate memory Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) <debug enable="1"/>/etc/security/pam_mount.conf.xmlで設定して、pam_mountから詳細情報を取得します。 command: 'mount' '-t' 'cifs' '//my_server/watdo' '/home/watdo' '-o' 'user=watdo,uid=666,gid=666' pam_mount(misc.c:38): set_myuid<pre>: (ruid/rgid=0/0, e=0/0) pam_mount(misc.c:38): set_myuid<post>: (ruid/rgid=0/0, e=0/0) pam_mount(mount.c:64): Errors from underlying …

16 mount  pam  server-message-block  cifs  smb-conf 

私は、ubuntuマシン上のすべてのユーザーのオープンファイル記述子の最大値を上げようとしています。 に次の行を追加しました/etc/security/limits.conf。 * soft nofile 100000 * hard nofile 100000 そして、この質問に基づいて、次の/etc/pam.conf設定を確認しましたpam_limits。 $ grep "pam_limits" /etc/pam.d/* /etc/pam.d/atd:session required pam_limits.so /etc/pam.d/common-session:session required pam_limits.so /etc/pam.d/cron:session required pam_limits.so /etc/pam.d/login:session required pam_limits.so /etc/pam.d/sshd:session required pam_limits.so /etc/pam.d/su:session required pam_limits.so /etc/pam.d/sudo:session required pam_limits.so そして、私のファイルマックスはうまくいくようです： $ cat /proc/sys/fs/file-max 762659 しかし、私がチェックすると、デフォルトの1024がまだありますulimit -a： $ ulimit -a | grep files open …

16 linux  ubuntu  pam  ulimit 

Kerberosを正常に構成した後、これは/etc/pam.d/common-authファイルで見つけたものです。 auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass auth requisite pam_deny.so auth required pam_permit.so ないsuccess=2場合は、その制御値の平均pam_unix.so 失敗し、認証にスキップauth requisite pam_deny.so行または最後の行には？

16 linux  pam 

RedHatボックスのセキュリティ強化手順に取り組んでおり、有効期限が切れるとユーザーがパスワードを変更できないようにすることが可能かどうかを知りたかった。 クライアントの1人の要件は、一時アカウントを介してのみサーバーにアクセスできることです。つまり、ユーザー資格情報が作成されたら、パスワードは4時間以内に期限切れになり、パスワードが期限切れになると、rootのみがそれを変更できるようになります。 最初の要件（4時間後に有効期限が切れるパスワード）の場合、passwordMaxAge = 144000を設定することで達成できると思います。しかし、パスワードの有効期限をオフにしない限り、ユーザーが期限切れのパスワードを変更できないようにする方法はまだ見つかりませんでした。 誰でも助けることができますか？

14 security  redhat  pam  hardening 

ここでPAM / LDAPの達人が助けてくれることを望んでいました。最近、Ubuntu ServerにLDAPディレクトリを設定して、クライアント（Webベースのシステムで使用）とスタッフ（SSH経由でログインする必要がある）の両方のアカウントを保持しています。 LDAP認証は完全に機能しています。ただし、アカウントの制限を機能させることはできません。スタッフアカウントはIDを2001持ち2999、ssh-usersサーバーのログインを許可するグループのメンバーになります。 問題の制限は、、、/etc/ldap.confおよびpam_min_uidにpam_max_uidありpam_groupdnます。 pam_groupdn私のssh-usersグループへの完全なDNが含まれています。 pam_min_uid= 2000およびpam_max_uid= 2999。 今、私は追加してそれらを動作させることができました： account [success=1 default=ignore] pam_ldap.so のpam_unix.so行の上/etc/pam.d/common-account。ただし、ローカルのUnixアカウントはログインできません。SSHサーバーは接続しようとするとすぐに接続を切断します。 上記のファイルでpam_ldap.soモジュールをsufficientに設定しましたが、無効なユーザーはログインできないというメッセージを受け取りますが、とにかくログインします。 それでは、UNIXユーザーにログインを許可しながら、LDAPユーザーにこれらのアカウント制限を設定するにはどうすればよいですか？ おそらくあなたが推測できるように、私はPAMの初心者ですが、「ホームディレクトリを自動的に作成する」モジュールを機能させることができました:-) ありがとう、アンディ

14 ubuntu  ldap  pam 

バックグラウンド 私は、VPNシングルサインオンを達成するための最良の方法を決定するために、OS Xログインプロセスのより良い理解を収集しようとしています。 間違っている場合は修正してください。 launchd(8)を呼び出してgettyent(3)、ttys(5)実行元loginwindow.appを決定し/dev/consoleます。 loginwindow.appsystem.login.console認可データベースが以下のメカニズムを指定する認可権限の取得を試みます（それらの機能の私の理解とともにリストされています）。特権のあるものはauthdプロセス内で（rootとして）実行され、特権のないものはSecurityAgentプロセス内で（_securityagentとして）実行されます。 builtin:policy-banner（設定されている場合、ログインウィンドウバナーを表示します）。 loginwindow:login （資格情報のプロンプト）。 builtin:login-begin builtin:reset-password,privileged（Apple IDを使用してパスワードをリセットします）。 builtin:forward-login,privileged （起動時にEFIから資格情報を転送します）。 builtin:auto-login,privileged （ブート時に自動ログイン資格情報を適用します）。 builtin:authenticate,privileged（呼び出すpam_authenticate(3)ためのauthorizationサービス、設定、「UID」コンテキスト値）。 PKINITMechanism:auth,privileged （TGTを取得してKerberosを初期化します）。 builtin:login-success loginwindow:success （ログインセッションを不正なリモートアクセスから保護します;システムのutmpおよびutmpxデータベースにログインを記録します;コンソール端末の所有者と許可を設定します）。 HomeDirMechanism:login,privileged （ユーザーのホームディレクトリをマウントします）。 HomeDirMechanism:status （ホームディレクトリのマウントの進行状況を表示します）。 MCXMechanism:login （構成プロファイルを適用します）。 loginwindow:done （ユーザーの設定をリセットして、グローバルシステムのデフォルトを設定し、ユーザーの設定を使用してマウス、キーボード、およびシステムサウンドを設定し、ユーザーのグループ権限を設定し、ディレクトリサービスからユーザーレコードを取得し、その情報をセッションに適用し、ユーザーのコンピューティングをロードします環境-設定、環境変数、デバイスとファイルのアクセス許可、キーチェーンアクセスなどを含む、Dock、Finder、およびSystemUIServerを起動し、ユーザーのログイン項目を起動します）。 ご質問 各メカニズムの機能の理解を確認したいと思います。 ソースコードは公然と利用可能ですか？ 非builtinメカニズムは、の下/System/Library/CoreServices/SecurityAgentPluginsにあるプラグインによって定義されていることは知っていますが、ビルド元のソースは見つかりません。また、builtinメカニズムがどこで定義されているかもわかりません。 ソースが利用できない場合、メカニズムはどこにも文書化されていますか？ 観察 どのようにすることができloginwindow:login、それが呼び出された場合は資格情報を要求する前 builtin:forward-loginとbuiltin:auto-login、GUIをバイパスさせることがそのいずれか？そのような資格情報のコンテキストを検査し、存在する場合はスキップしますか？奇妙に思えます。 さらに、アップルの802.1X認証テクニカルホワイトペーパーで説明されているように： ログインウィンドウモードが設定され、ユーザーがログインウィンドウでユーザー名とパスワードを入力すると、2つのことが起こります。まず、ログインウィンドウは、ユーザーが入力したユーザー名とパスワードを使用して、802.1X経由でコンピューターをネットワークに対して認証します。802.1X認証が成功すると、ログインウィンドウは同じユーザー名とパスワードを外部ディレクトリに対して認証します。 その認証の第2段階はpam_opendirectory.soモジュールによって処理され、存在するネットワークに依存しているため、第1段階（802.1Xを介したネットワークへの認証）は必ずその前に発生する必要があります。つまり、builtin:authenticateメカニズムの前に発生する必要があります。 loginwindowプラグインバイナリの簡単な検査から、このような802.1X認証を処理しているように見えますが、そのプラグイン内で呼び出される唯一のメカニズムbuiltin:authenticateはloginwindow:loginです。このメカニズムはログインプロンプトを表示するだけでなく、802.1X認証も試みると考えるのは正しいですか？（もしそうなら、それは少しずさんな私見のように見えるだけでなく、EFI /自動ログインからのクレデンシャルを802.1Xログインウィンドウ認証に使用できないことを示唆しています。）

13 security  mac-osx  authentication  login  pam