主页 / server / 问题 / 454625
Accepted
Andrey Sapegin
Asked: 2012-12-04 09:00:14 +0800 CST

pam_ldap.so 在 pam_unix.so 之前?有可能吗?

  • 772

我们有几台带有 PAM+LDAP 的服务器。

配置是标准的(参见http://arthurdejong.org/nss-pam-ldapd/setuphttp://wiki.debian.org/LDAP/PAM)。例如,/etc/pam.d/common-auth 包含:

auth sufficient pam_unix.so nullok_secure
auth requisite pam_succeed_if.so uid >= 1000 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

当然,它适用于 ldap 和本地用户。但是每次登录都首先登录 pam_unix.so,失败,然后才尝试 pam_ldap.so 成功。因此,对于每个 ldap 用户登录,我们都会收到一条众所周知的失败消息:

pam_unix(<some_service>:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<some_host>  user=<some_user>

我每天最多有 60000 条这样的日志消息,我想更改配置,PAM 将首先尝试 ldap 身份验证,并且只有在失败时 - 尝试 pam_unix.so(我认为它可以提高 i/o 性能服务器)。但是,如果我将 common-auth 更改为以下内容:

auth sufficient pam_ldap.so use_first_pass
auth sufficient pam_unix.so nullok_secure
auth required pam_deny.so

然后我就不能再用本地(非 ldap)用户登录(例如,通过 ssh)。

有人知道正确的配置吗?为什么 Debian 和 nss-pam-ldapd 首先默认有 pam_unix.so?真的没有办法改变吗?

先感谢您。

PS 我不想禁用日志,但想首先设置 ldap 身份验证。

unix

4 个回答

  1. 如果本地用户和网络用户在不同的 uid 范围内(这是个好主意),您可以添加这样一行(假设本地用户在 0-4999 范围内):

    auth [success=1 default=ignore] pam_succeed_if.so uid >= 5000 quiet

    在线之前pam_unix.so。如果 uid >= 4999,它将通过 1 行。它将直接转到 pam_ldap.so。

    而且你必须更改pam_ldap.so use_first_passpam_ldap.so或者pam_ldap.so try_first_pass如果你之前没有要求输入密码的行pam_ldap.so

    我会测试:

    auth [success=1 default=ignore] pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_unix.so nullok_secure
auth requisite pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_ldap.so
auth required pam_deny.so
    • 1
  2. Best Answer

    hayalci 在评论中回答了它:

    auth sufficient pam_ldap.so
auth sufficient pam_unix.so nullok_secure try_first_pass
auth required pam_deny.so
    • 1

  3. 您的: 

    auth sufficient pam_unix.so nullok_secure  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_ldap.so use_first_pass  
auth required pam_deny.so

    更改为:(use_first_pass 表示使用前面模块中的密码,即 pam_ldap.so) 

    auth sufficient pam_ldap.so  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_unix.so use_first_pass nullok_secure  
auth required pam_deny.so

    缺点(对于 hpux):如果您的 ldap 服务器挂起(同步攻击;请参阅https://fedorahosted.org/389/ticket/47554)您的客户端也会挂起,这发生在 HPUX 服务器(不是 linux 和 aix;hpux 进程)名为 ldapclientd)。这意味着所有登录(即使是来自 ILO/MP 的根登录)都被阻止。解决方案是重新启动服务器 :-(。所以在 hpux 上我更喜欢 pam_unix 而不是 pam_ldap

    • 0

  4. 我想说这个解决方案对我有用!我在使用 free-ipa 时遇到了同样的问题,在我的 /etc/pam.d/system-auth 文件中使用这个设置避免了额外的“身份验证失败”错误:

    auth        required      pam_env.so
auth        sufficient    pam_sss.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
    • -2

相关问题