PAM:有効なパスワードでの認証失敗

9

コマンド

pamtester -v auth pknopf authenticate
pamtester: invoking pam_start(auth, pknopf, ...)
pamtester: performing operation - authenticate
Password:
pamtester: Authentication failure

journctl

Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown
Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf)
Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= uid=1000 euid=1000 tty= ruser= rhost=  user=pknopf

現在のところ、すべてのロック画面で「ロック解除」できません(KDEロック画面i3lockなど)。

i3lockとして開始した場合sudoルートパスワードを適切に入力して画面のロックを解除できます。ただし、通常のユーザーとして実行し、通常のユーザーまたはrootのパスワードを使用してロックを解除できない場合は、

これがのPAM設定ですi3lock

#
# PAM configuration file for the i3lock screen locker. By default, it includes
# the 'system-auth' configuration file (see /etc/pam.d/login)
#
auth include system-auth

ランニングls -l /etc/passwd /etc/shadow /etc/groupショー

-rw-r--r-- 1 root root 803 Feb 6 14:16 /etc/group
-rw-r--r-- 1 root root 1005 Feb 6 14:16 /etc/passwd
-rw------- 1 root root 713 Feb 6 14:16 /etc/shadow

これはArchの新規インストールなので、設定があまりにも不安定であるとは思いません。これをデバッグするには何を探す必要がありますか?

ランニングls -l /sbin/unix_chkpwdショー

-rwxr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd
pam 
ポール・ノップ
ソース
などにユーザーアカウントpknopfがあり/etc/passwd、ログインできますか?
roaima 2018
私のアカウントは/ etc / passwdにあります。
Paul Knopf、
「pamtester auth pknopf authenticate」は、rootユーザーで(実行中)にできますが、pknopfユーザーではできません。
Paul Knopf
ls -l /sbin/unix_chkpwd質問の結果を追加してください。
roaima 2018
質問を更新して出力を含めました。
Paul Knopf、

回答:

11

システムのインストールが壊れているようです。なんらかの理由で、ファイル/sbin/unix_chkpwdに表示されるはずの権限ビットが失われました。

rootとして次のコマンドを実行して、権限を修正します。

chmod u+s /sbin/unix_chkpwd

そして、権限が次のようになっていることを確認します(sユーザー権限のビットを参照)。

-rwsr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd

私のRaspbianディストリビューションでは、アクセス許可の設定が少し異なります(より制限的です)。上記の変更が機能しない場合は、これら2つのファイルのアクセス許可を慎重に変更し、これが役立つかどうかを確認してください(グループ名は、両方のケースで同じである限り、あまり問題になりません)。

-rw-r----- 1 root shadow  1354 Dec  6 13:02 /etc/shadow
-rwxr-sr-x 1 root shadow 30424 Mar 27  2017 /sbin/unix_chkpwd
ロアイマ
ソース
1
これは私の問題として。これは、Dockerがその特権ビットを削除した結果です。 github.com/moby/moby/issues/36239
Paul Knopf
4

Debianマシンでは、私の場合、exim4ユーザーをshadowグループに追加する必要がありました。

usermod -a -G shadow Debian-exim

PAM:Debianシステムでは、PAMモジュールは呼び出し側プログラムと同じユーザーとして実行されるため、ユーザーが自分でできないことは何もできません。特に、ユーザーがグループシャドウに属していない限り、/ etc / shadowにアクセスできません。-EximのSMTP AUTHに/ etc / shadowを使用する場合は、eximをグループシャドウとして実行する必要があります。libpamにリンクされているのはexim4-daemon-heavyだけです。代わりにsaslauthdを使用することをお勧めします。

http://lira.no-ip.org:8080/doc/exim4-base/README.Debian.html

ダニエル・ソコロウスキー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.