タグ付けされた質問 「pam」

だから、私はかなり奇妙な問題を抱えています。サーバーがあり、SSHを試行したときに、最初の試行で正しいパスワードを入力するとすぐに接続が閉じられます。ただし、最初の試行で意図的に間違ったパスワードを入力し、2番目または3番目のプロンプトで正しいパスワードを入力すると、コンピューターに正常にログインできます。同様に、公開鍵認証を使用しようとすると、すぐに接続が閉じられます。ただし、キーファイルに間違ったパスワードを入力し、パスワード認証に戻った後に別の間違ったパスワードを入力した場合、2番目または3番目のプロンプトで正しいパスワードを入力すれば、正常にログインできます。 マシンはRed Hat Enterprise Linux Serverリリース6.2（Santiago）を実行しており、認証にLDAPとPAMを使用しています。これのデバッグを開始する場所についてのアイデアはありますか？提供する必要がある設定ファイルを教えてください。喜んで提供します。 デバッグ情報を次に示します。次のコードブロックは、これらの3つのシナリオを順番に表しています：1）最初の試行で秘密キーのパスワードを修正する、2）最初の試行で秘密キーをスキップする、通常のパスワードを修正する、3）秘密キーをスキップして意図的に不正なパスワードを入力する、良いものを入力してください...これは実際に接続させてくれる唯一のシナリオです。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as …

13 ssh  ldap  authentication  openldap  pam 

サーバー上のシェルへのアクセス、Sambaドメイン、WiFi、OpenVPN、Mantisなどへの単一のユーザーパスワードペアを介してすべてのITリソースが利用できるシステムを構成していますグループメンバーシップまたはユーザーオブジェクトフィールド）。ネットワークには個人データがあるため、EUデータ保護指令（またはポーランド語版）に従って、パスワードエージングを実装する必要があります。 問題は、LDAPのSambaおよびPOSIXアカウントが異なるパスワードハッシュおよびエージング情報を使用することです。パスワード自体の同期は簡単ですが（ldap password sync = Yesin smb.conf）、パスワードエージングをミックスに追加すると問題が解決します。SambaはshadowLastChangeを更新しません。Togetherはobey pam restrictions = Yes、Windowsユーザーが古いパスワードを変更できないシステムを作成しますが、使用しない場合、ホームディレクトリは自動的に作成されません。別の方法は、パスワードの変更にLDAP拡張操作を使用することですが、smbk5pwdモジュールもそれを設定しません。さらに悪いことに、このフィールドは非推奨と見なされるため、OpenLDAPメンテナーはパッチを更新または受け入れません。 だから、私の質問は、最善の解決策は何ですか？それらの利点と欠点は何ですか？ LDAP ppolicyおよび内部LDAPパスワードエージングを使用しますか？ NSS、PAMモジュール、Samba、その他のシステムでどれだけうまく機能しますか？ NSSおよびPAMモジュールは、シャドウではなくppolicyを使用するために特別な方法で構成する必要がありますか？ GOsa²はppolicyで動作しますか？ ppolicy-enabled LDAPで機能する他の管理ツールはありますか？ LDAPのフィールドを更新するパスワード変更スクリプトを一緒にハックします。（ユーザー自身がパスワードを変更せずにフィールドを更新する可能性を残します）

13 domain  authentication  samba  ldap  pam 

多くのチュートリアルでは、sshサーバーを次のように構成するように指示されています。 ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no ただし、この設定ではPAMを使用できません。Google認証システムで2要素認証（OTPワンタイムパスワード）を使用する予定なので、PAMが必要です。 だから、通常のパスワードでログインを防ぎたいが、それでもPAMの使用を許可したいなら、新しいdebian jessie sshデーモンを設定する方法。 おそらく正確な質問は、パスワードを許可しないようにpamを構成する方法ですか？ PAM認証の詳細 PAMベースのパスワード認証を無効にすることはかなり直感的ではありません。ほとんどすべてのGNU / Linuxディストリビューション（Slackwareの顕著な例外を除く）とFreeBSDで必要です。注意しない場合は、PasswordAuthenticationを「no」に設定し、PAM認証を通じてパスワードのみでログインすることができます。PAM認証を本当に無効にするには、「ChallengeResponseAuthentication」を「no」に設定する必要があることがわかりました。FreeBSDのmanページにはこれが書かれており、状況を少し明確にするのに役立つかもしれません： ChallengeResponseAuthenticationが「yes」で、sshdのPAM認証ポリシーにpam_unix（8）が含まれている場合、PasswordAuthenticationの値に関係なく、チャレンジ/レスポンスメカニズムを通じてパスワード認証が許可されることに注意してください。 http://www.unixlore.net/articles/five-minutes-to-more-secure-ssh.html

13 ssh  debian  pam 

私は、ubuntuマシン上のすべてのユーザーのオープンファイル記述子の最大値を上げようとしています。 この質問は、この質問のフォローアップです。 pam_limits.soが必要な場合でも、オープンファイル記述子limits.conf設定はulimitによって読み取られません。 ただし、limits.confに必要な「ルート」エントリを追加したことを除きます。 ここにエントリがあります * soft nofile 100000 * hard nofile 100000 root soft nofile 100000 root hard nofile 100000 関連する行pam_limits.soは、/ etc / pam.d /のすべての関連ファイルでコメント解除fs.file-maxされ、/ etc / sysctl.confで正しく設定されています。 しかし、私はまだ見る abc@machine-2:/etc/pam.d$ ulimit -n 1024 再起動後。 何が問題なのでしょうか？ 私のデフォルトのシェルは/ bin / shであり、マシン上のユーザーは何らかの分散認証スキームを介して認証されるため、chshを使用してデフォルトのシェルを変更することはできません。

13 linux  ubuntu  bash  pam  ulimit 

個人用VPSでLDAP認証を設定していますが、Ubuntuには同じ目的で2つのパッケージがあります：libpam-ldapとlibpam-ldapd。どちらを使用すればよいですか？

13 ubuntu  debian  authentication  ldap  pam 

閉じた。この質問には、詳細または明確さが必要です。現在、回答を受け付けていません。 この質問を改善したいですか？詳細を追加し、この投稿を編集して問題を明確にします。 5年前に閉鎖されました。 PAM構成について言及している次のエラーメッセージに示されているアクセス許可の問題が発生したときに、非ルートユーザー「コイン」としてcrontabにアクセスしようとしました。 [coins@COINS-TEST ~]$ crontab -l Authentication service cannot retrieve authentication info You (coins) are not allowed to access to (crontab) because of pam configuration. このcrontabアクセスの問題に対する最も一般的な修正は何ですか？

12 linux  cron  pam 

CentOS 7にアップグレードすると、LDAP経由でログインできなくなります。CentOS 6 では、正常に機能するパッケージpam_ldapを使用しましたが、CentOSの新しいバージョンではpam_ldapは使用できなくなりました。 ldapsearchを介した接続は引き続き正常に機能しますが、sshを介した認証の試行は機能しません。 パッケージnss-pam-ldapdを再インストールし、authconfig-tuiを介して認証を再構成しましたが、まだ機能しません。 以下では、ユーザー名をuser.nameに、ベースをdc = sub、dc = example、dc = orgに置き換えます。 私のホストOSはCentOS 7です。現在利用可能なアップデートはすべてインストールされています。 $ uname -a Linux isfet 3.10.0-123.8.1.el7.x86_64 #1 SMP Mon Sep 22 19:06:58 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux インストール済みパッケージ $ rpm -qa | grep -i ldap openldap-2.4.39-3.el7.x86_64 nss-pam-ldapd-0.8.13-8.el7.x86_64 openldap-clients-2.4.39-3.el7.x86_64 /etc/openldap/ldap.confの内容 URI ldap://172.16.64.25 BASE dc=sub,dc=example,dc=org /etc/nslcd.confの内容 …

11 centos  ldap  authentication  pam 

PAMを使用してmysql DBに接続する仮想ユーザーでvsftpdを正常に使用しています。ここで、成功したvsftpd接続でユーザーディレクトリの作成を自動化したいと思います。 /etc/pam.d/vsftpdの構成は次のとおりです。 #%PAM-1.0 session optional pam_keyinit.so force revoke auth required pam_mysql.so verbose=1 user=root passwd=mypass host=localhost db=mydb table=mytable usercolumn=username passwdcolumn=password crypt=3 account required pam_mysql.so verbose=1 user=root passwd=mypass host=localhost db=mydb table=mytable usercolumn=username passwdcolumn=password crypt=3 session required pam_mkhomedir.so skel=/home/skel/ umask=0022 debug pam_mkhomedirを追加すると、ログに他のメッセージがないディレクトリを作成できないことが示されるようになりました。したがって、明らかに適用されていません。他に必要なものはありますか？ 私の/etc/vsftpd/vsftpd.conf： # No ANONYMOUS users allowed anonymous_enable=NO # Allow 'local' …

11 mysql  permissions  ftp  pam  vsftpd 

// 2月8日更新-未解決の問題の概要： ディレクトリをファイルとは異なる方法でマスク解除する方法は？ Nautilusのコピー/貼り付けをumaskする方法は？ SSHFSのumaskを設定する方法は？ 私たちの状況 当社の数人がサーバーにログインしてファイルをアップロードします。それらはすべて、同じファイルをアップロードおよび上書きできる必要があります。それらは異なるユーザー名を持ちますが、すべて同じグループの一部です。ただし、これはインターネットサーバーであるため、「他の」ユーザーには（一般に）読み取り専用アクセス権が必要です。だから、私が欲しいのはこれらの標準的な許可です： ファイル：664 ディレクトリ：771 私の目標は、すべてのユーザーが権限を心配する必要がないことです。サーバーは、これらの権限がすべてのファイルとディレクトリに適用されるように、新しく作成、コピー、または上書きされるように構成する必要があります。特別な許可が必要な場合にのみ、これを手動で変更します。 サーバーにファイルをアップロードするには、NautilusのSFTP-ing、sshfsを使用してサーバーをマウントし、Nautilusでローカルフォルダーであるかのようにアクセスし、コマンドラインでSCP-ingを実行します。それは基本的に私たちの状況と私たちがやろうとしていることをカバーしています。 今、私は美しいumask機能について多くのことを読みました。私が理解していることから、umaskは（PAMと一緒に）私が望むことを正確に行えるようにするはずです。つまり、新しいファイルとディレクトリに標準の許可を設定します。しかし、何時間もの読書と試行錯誤の後、私はまだこれを機能させません。多くの予期しない結果が得られます。私はumaskをしっかりと把握し、多くの質問に答えていないのが本当に好きです。これらの質問を、私の調査結果とこれらの質問につながった私の試験の説明とともに、以下に投稿します。多くのことが間違っているように見えるので、私はいくつかのことを間違っていると思います。したがって、多くの質問があります。 注：Ubuntu 9.10を使用しているため、sshd_configを変更してSFTPサーバーのumaskを設定できません。インストール済みのSSH OpenSSH_5.1p1 Debian-6ubuntu2 <OpenSSH 5.4p1が必要。それでは、質問に行きましょう。 1.効果を得るためにPAMの変更を再開する必要がありますか？ これから始めましょう。非常に多くのファイルが関係していたため、PAMの変更を有効にするためにシステム全体を再起動する必要があるかどうかもわからなかったため、何が影響を及ぼし、何が影響を与えないかを把握できませんでした。期待した結果が表示されなかった後にそうしましたが、これは本当に必要ですか？または、サーバーからログアウトしてログインし直すだけで、新しいPAMポリシーを有効にする必要がありますか？または、リロードする「PAM」プログラムがありますか？ 2.すべてのセッションのすべてのユーザーに影響を与える変更する単一のファイルはありますか？ だから私は多くの異なるものを読んで、多くのファイルを変更することになりました。私は次のファイルにumaskを設定することになりました。 ~/.profile -> umask=0002 ~/.bashrc -> umask=0002 /etc/profile -> umask=0002 /etc/pam.d/common-session -> umask=0002 /etc/pam.d/sshd -> umask=0002 /etc/pam.d/login -> umask=0002 この変更をすべてのユーザーに適用したいので、何らかのシステム全体の変更が最適です。達成できますか？ 3.結局のところ、このことはうまくいきますか？ そこで、可能なすべての場所でumaskを0002に変更した後、テストを実行します。 ------------ SCP ----------- テスト1： scp testfile (which …

11 ssh  permissions  sftp  pam  umask 

rootの直接アクセスを制限するようにsecurettyを構成したい。追加した場合、私は今明らかです： auth required pam_securetty.so /etc/pam.d/system-authに追加し、/ etc / securettyに「コンソール」のみを保持すると、sshログインも禁止されます。そして私が追加した場合： auth required pam_securetty.so /etc/pam.d/loginに保存し、/ etc / securettyに「コンソール」のみを保持すると、sshログインは禁止されません。 /etc/pam.d/loginと/etc/pam.d/system-authの違いについては、あまり明確ではありません。誰かが私にいくつかのリファレンスやガイドを教えてもらえますか？どうもありがとう！ PS /etc/pam.d/loginと/etc/pam.d/system-authの比較 についても少し説明しますが、わかりやすくするためにもっと詳しく説明します。

11 linux  security  rhel5  pam 

仮想ユーザーが自分のスペースにアクセスできるようにvsftpdでサーバーを設定しています。現在は完全に機能していますが、CRYPTパスワードでのみ機能します。そう sudo htpasswd -c /etc/vsftpd/ftpd.passwd phpmyadmin ログインできませんが、 sudo htpasswd -c -d /etc/vsftpd/ftpd.passwd phpmyadmin 意志。 /etc/vsftpd.conf listen=YES anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 nopriv_user=vsftpd virtual_use_local_privs=YES guest_enable=YES user_sub_token=$USER local_root=/var/www/vhosts/$USER.universe.local chroot_local_user=YES hide_ids=YES guest_username=vsftpd /etc/pam.d/vsftpd auth required pam_pwdfile.so pwdfile /etc/vsftpd/ftpd.passwd crypt=2 account required pam_permit.so crypt=2 ソースとPHPからapache2.4.3をインストールしました。 私が試したこと： グーグルたくさん crypt = 2を設定 友人に尋ねる SHAを使用（どちらも機能しない） htpasswdとvsftpdを更新 私はこれに1週間も苦労してきました。

10 ftp  pam  vsftpd  md5 

AD / Linux / LDAP / KRB5ディレクトリと認証設定が機能していますが、小さな問題が1つあります。アカウントが無効になっている場合でも、SSH公開鍵認証ではユーザーのログインが許可されます。 kinitとkpasswdが「クライアントの資格情報が取り消された」ことを返すため、kerberosクライアントが無効なアカウントを識別できることは明らかです。 認証が公開鍵によって行われる無効なアカウントのログインを許可しないように（sshd_configで「UsePAM yes」を使用して）PAMを構成できますか？これはうまくいかないようです： account [default=bad success=ok user_unknown=ignore] pam_krb5.so 回答にwinbindを導入しないでください-使用しません。

10 linux  active-directory  kerberos  pam 

私はsshdを使用しており、公開鍵認証でのログインを許可しています。 選択したユーザーがPAM 2要素認証モジュールでログインできるようにしたい。 特定のユーザーにPAM 2要素認証を許可する方法はありますか？ 同じように-特定のアカウントのパスワード認証のみを有効にしたい。誰かが私の重く守られた秘密口座、知っている場合を除いて-私は、パスワード認証を受け入れないことを考えることになるはずハッカー私のSSHデーモンを阻止するために、パスワード認証の試行を拒否したいです有効なパスワードを。SSHクライアントでシークレットキーまたは2要素認証を実行できない場合に、これを実行します。

9 linux  ssh  pam 

私は現在、私が呼び出したユーザーのプロセス数を制限することに苦労していますsandbox。 私は/etc/security/limits.confこのように内部でプロセス制限を構成しました： sandbox hard nproc 100 しかし、sandboxユーザーとしてコンテナーに接続したい場合、sshは次を返します： shell request failed on channel 0 としてログインしてroot、sandboxユーザーごとに実行されているプロセスの数を確認しましたが、5未満です。 では、sshを介してログインできない理由は何ですか？ 制限を設定しなくても、sandboxユーザーのsshログインは問題なく動作します。 またはフォーク爆弾攻撃を防ぐ他の方法はありますか？

8 ssh  pam  containers  docker 

Red Hatは、LDAPユーザーを列挙するためのオプションの1つとして/etc/nsswitch.confの互換モードを私に推奨しましたが、これはあまり使用されない方法であると後で述べました。 nsswitch.conf passwd: files compat passwd_compat: ldap in passwd file, add +@netgroup. この互換モードとは何ですか？

8 redhat  ldap  pam  pam-ldap  nsswitch.conf