タグ付けされた質問 「pam」

プラグイン可能な認証モジュールは、システムで実行されているアプリケーションまたはサービスの認証タスクを処理します。

1
パスワードの有効期限が切れて、キー認証を使用している場合はどうなりますか?
職場で制御していないボックスの1つで、sshキーを使用してログインします。パスワードは、数か月後に有効期限が切れるように設定されています。パスワードをリセットしないで有効期限が切れた場合はどうなりますか?まだログインできますか?何が起こるかは、sshd設定によって異なりますか?またはいくつかのpam設定?
11 linux  ssh  security  pam 

1
PAM vs LDAP vs SSSD vs Kerberos
私は基本的にこれらのサービスが互いに分離していることを認識しています。私が知りたいこと:これらのサービスをすべて使用するLinuxベースのネットワークでログインが成功した場合、正確にはどうなりますか?これらのサービスはどの順序で相談されますか?どのサービスがどのサービスと通信しますか?
10 login  pam  ldap  kerberos  sssd 

3
LDAPを使用したホームディレクトリとpam.d
背景: 設定側のPAMとLDAP認証の詳細については、あまり詳しくありません。私はPAMを使用するシステムを使用しましたが、システム自体ではなく、アプリケーションのみに取り組みました。 質問: pamを使用してLDAP経由の認証を制御することは、システムにホームディレクトリが作成されないことを意味しますか? そうでない場合は、サーバー上にユーザーを作成するか、LDAPソースからユーザーをシステムにプッシュしますか?
10 users  pam  home  ldap 


2
PAM:有効なパスワードでの認証失敗
コマンド pamtester -v auth pknopf authenticate pamtester: invoking pam_start(auth, pknopf, ...) pamtester: performing operation - authenticate Password: pamtester: Authentication failure journctl Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf) Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= …
9 pam 

4
ユーザーがログインできる時間を制限する
Ubuntu 12.04上に構築されたいくつかのBackbox 3.13システムがあります。私の10代の1人は、「スリープ」と呼ばれるこのことの概念を理解しておらず、コンピュータで遊ぶために立ち上がる傾向があります。私はその行動を制限しようとしています。私たちは数日間働いたナニーを試しました。その後、設定がまだ適切であったとしても、それはまだその十代が彼女のユーザーアカウントとインターネットへのアクセスを取得することを許可していました。 いくつかの調査の後、を変更してみることにしました/etc/security/time.conf。どうやら、ファイルにどのコマンドを入力しても、ユーザーアカウントにログインできるため、正しく実行していないようです。私たちは彼女に午後9時から午前6時までのアクセスを許可しません。私はまだ私がいつもコンピューターにアクセスできる必要があります。ここに私が試したいくつかの構文があります: 1. login;*;username;A12100-0600 2. login;*;username;!A12100-0600 3. login;*;username;!A12100-0600 login;*;my username;A10000-2400 4. login;*;!username;A12100-0600 私はこれをどのように行うかを理解しようとすることで、ここで気が狂います。私が見落としている、または間違って入力しているのは簡単なことだと思います。どんな援助もいただければ幸いです。

1
公開鍵とPAMを使用したSSHの2要素認証
2要素認証を設定しようとしています。次の場合、ユーザーに正常にログインしてほしい: 公開秘密/公開キーが一致する(認証方法:publickey)またはパスワードが正しい 私のpam認証方法は成功しました。 2番目の認証方法はPAMファイルです。だから私はそれを/usr/lib/pam/に追加して追加auth required my_pam_module.soしました/etc/pam.d/sshd。 これまでのところ、(publickeyメソッド)または(パスワード、およびpamモジュールで必要なもの)を使用してログインできます。それで私は追加AuthenticationMethods publickey,keyboard-interactiveしました、/etc/sshd_configそして今、私は公開鍵、パスワード、そして「私に必要なものpamモジュール」を持っていることが要求されます。 上記で説明したことを達成するために、どの行を変更する必要がありますか?Mac OS X Mavericks(10.9)を使用しています。Macに慣れていない場合は、Linuxシステムでの作業にも役立ちます。

1
SSH接続を処理する場合、システムはどのような手順を実行しますか?
SSH接続を処理する場合、システムはどのような手順を実行しますか? ssh経由でログインを試みます sshd pamとpamモジュールを起動して私たちを認証します pamの設定に応じて、ユーザー名とパスワードを提供する必要があります(pamチェックpasswdとshadowファイル) PAMのためのチェックhosts.allow/deny、/etc/shellsおよびその他のもの すべてがうまくいけば、ログインしています ??? シェルが起動しました だから私の質問は、どのメカニズムがpasswdファイル内のユーザーに割り当てられているかを確認する責任があるということです(ステップ6で)?それはpam自体、特定のpamモジュールsshd、または何か他のものですか?私は取り替えることができることを知っているpasswdPAMモジュールを書き込むことによって(ユーザ名とパスワードをチェックするための)ファイルを、どのように私は置き換えることができpasswd、シェルのエントリのファイルを?
9 shell  ssh  pam 

1
ログインに追加の手順を追加するにはどうすればよいですか?
私が達成したいのは、ユーザーにパスワードを要求する前または後に実行する対話型プログラムですが、成功して終了しない限り、コンピューターへのアクセスを処理しません。少しわかりやすくするために、以下に例を示します。 最初にユーザー名を書き、次にパスワードを書き、その後ランダムに生成された簡単な数学の質問に正しく答えることで、コンピューターにアクセスしたいと思います。 これを機能させるには、次のsystem-authファイルを使用します。 auth required pam_unix.so try_first_pass nullok nodelay auth optional pam_faildelay.so delay=600000 auth optional pam_exec.so stdout /home/math auth optional pam_permit.so auth required pam_env.so 問題は、mathという名前のプログラムはユーザーからの入力を処理できないことです。これは、PAMからEOFを自動的に読み取るため、本質的に役に立たなくなるためです。私はまた、疑わしい行の次のバリアントを試しました。その場合、パスワードが読み取られますが、これも私が望んでいるものではありません。 auth optional pam_exec.so stdout expose_authtok /home/math

1
最初のsudoは常に遅い
sudoUbuntu 14.04サーバーで最初に入力するのが常に遅い。パスワードプロンプトがすぐに表示されますが、Enterキーを押した後、出力が印刷されるまで約10〜15秒かかります。この後のすべてのsudoコマンドは即座に実行されます。 sudo strace -S time -c sudo echo hiからのsudo sudo echo hiはすでに2番目のsudoであり、高速に実行されるため、このような場合に何かを実行しても、有用なものは何も表示されません。時間が経過して、実行中のセッションでパスワードを再入力する必要がある場合、再び遅くなります。 私が見つけたすべての解決策は、/etc/hostsファイルに127.0.0.1の解決策としてホスト名を追加することでしたが、これは役に立ちませんでした。su root即座に実行されます。ここ数日で私が変更したことを覚えているのは、サーバーがルーティングしているサブネットのネットマスク、samba、dnsutils、bind9のインストールだけです。しかし、これらのプロセスはどれも実行されておらず、物理的なアクセスでは、sshセッションとtmuxセッションに問題が残っています。 編集:新しいアプローチ sudo tcpdump -vvvi any > tcpdump.log すべてのNICを取り外した状態で実行してみました。ログには、以下の多くが示されています。 18:35:09.453399 IP (tos 0x0, ttl 64, id 49112, offset 0, flags [DF], proto UDP (17), length 76) localhost.38498 > localhost.domain: [bad udp cksum 0xfe4b -> 0x1050!] 58546+ …
8 sudo  dns  pam 

2
pam_mountがパスワードを要求するのはなぜですか?
私はpam-auth-updateいくつかのpam構成プロファイルを有効にするためにツールを使用しました: PAM configuration PAM profiles to enable: [*] encfs encrypted home directories [*] Unix authentication [*] Mount volumes for user [*] GNOME Keyring Daemon - Login keyring management [*] ConsoleKit Session Management すべての機能は期待どおりに動作しますが、1つだけ問題がありMount volumes for userますsu。オプションがコマンドに影響を与えるようです。 次の行を/etc/security/pam_mount.conf.xmlファイルに追加しました。 <volume user="morfik" fstype="fuse" path="encfs#/media/Server/Dropbox.encfs/Dropbox/encrypted" mountpoint="/media/Server/Dropbox" /> 端末にsu morfik(ルートとして)入力すると、パスワードプロンプトは表示されませんが、代わりに次のように表示されます。 # su morfik reenter password …
8 mount  password  pam 

1
カスタムPAMモジュールとセキュリティに関する考慮事項
開発中のアプリケーションの一部となる独自のPAMモジュールを作成していますが、どこに配置するか正確にはわかりません。私のモジュールは基本的にLDAPと同様にネットワークレベルの認証を行います(もちろん他のモジョを使用します)。 私の/etc/pam.d/ディレクトリには多くの設定ファイルがあり、ほとんどのサービスが何をしているかを知っています(atd、polkit、pppのようなカップルを除く)。PAMスタックでの認証は次のようになると思います: サービス名に基づいてスタックを実行します(構成ファイルが存在する場合) 認証されていない場合は、common- *にフォールバックします。*はモジュールタイプ(auth、accountなど)です。 成功を返すか、呼び出しアプリケーションに失敗します(もちろん他のデータも) この仮定は正しいですか? すべてのプラットフォームに共通認証、共通アカウント、共通パスワード、および共通セッションがありますか? もしそうなら、私はそれをsufficientモジュールとしてcommon- *の一番上に置くことを考えていたので、失敗したときに通常のPAMスタックは影響を受けません。ソフトウェアのインストール時にプログラムでこれを実行できるため、これは特に有利です。 潜在的なセキュリティの脆弱性を見逃していますか? カスタムPAMモジュールを統合する場所や、モジュールを配置する場所を取り巻くセキュリティの問題に関する、適切なドキュメントが見つかりませんでした。

4
FreeBSDでOTPを使用して2要素認証を設定する方法
私はどこからでもアクセスできるようにしたいFreeBSDホストサーバーを持っています。通常、私はSSH公開鍵を使用してログインします。または、SSH秘密鍵を使用できない場合は、SSH経由で通常のパスワードを使用する可能性があります。ただし、信頼されていないマシンからログインする場合、キーロガーが入力時にパスワードを取得するリスクが常にあります。 FreeBSD は、ワンタイムパスワードスキームであるOPIEをすでにサポートしています。これはうまく機能しますが、必要な認証はワンタイムパスワードだけです。ワンタイムパスワードのリストを印刷して後で使用する場合、そのリストを紛失すると、それだけで誰かが必要になります。 私は、ワンタイムパスワード必要ように認証を設定したいのですが、プラス私が知っている何かを(パスワードではなく、私の通常のログインパスワードを除きます)。答えはPAM(および/etc/pam.d/sshd)に関係していると思いますが、詳細はわかりません。 2つの方法が必要な認証を設定するにはどうすればよいですか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.