Início / server / Perguntas / 773807
Accepted
John
Asked: 2016-04-30 02:25:22 +0800 CST

Fallback SSH para conta local se o servidor Radius não estiver disponível

  • 772

Editei o meu /etc/pam.d/sshdpara autenticação Radius; Eu adicionei esta linha:

auth required pam_radius_auth.so

Além disso, comentei a linha:

@include common-auth

Agora, a autenticação SSH usando Radius está OK se o servidor Radius estiver ATIVADO, mas se o servidor radius estiver inativo, não há fallback para usar as contas linux locais.

Alguma sugestão sobre onde editar o arquivo para permitir que eu volte para minha conta linux local quando meu servidor Radius falhar?

linux freeradius

1 respostas

  1. Best Answer

    Ative a autenticação comum (inclui pam_unix.so) e altere "necessário" para "suficiente".

    auth    sufficient      pam_radius_auth.so
@include common-auth

    (2016/05/03 JST) configurações para "fallback"

    auth    [success=done default=bad authinfo_unavail=bad ignore=ignore]  pam_radius_auth.so localifdown
@include common-auth

    Resultados de pam_radius_auth nos seguintes casos respectivos:

                           | correct password (in Radius)         | wrong (or UNIX) password
-----------------------+--------------------------------------+-------------------------
Radius Server is alive | PAM_SUCCESS                          | PAM_AUTHINFO_UNAVAIL
-----------------------+--------------------------------------+-------------------------
Radius Server is dead  |             PAM_IGNORE (with localifdown option)
-----------------------+--------------------------------------+-------------------------

    Como resultado:

    PAM_SUCCESS          => done (Login success)
PAM_AUTHINFO_UNAVAIL => bad (Login failure)
PAM_IGNORE           => ignore (continue to "common-auth")

    Há uma nota. Se o valor de tempo limite em pam_radius_auth.conf for muito pequeno, ele determinará "Radius Server is dead", antes de receber o "Access Reject" do servidor Radius.

    • 5

relate perguntas