pam_ldap.so 先于 pam_unix.so？有可能吗？

Question 1

hayalci 在评论中回答了这个问题：

auth sufficient pam_ldap.so
auth sufficient pam_unix.so nullok_secure try_first_pass
auth required pam_deny.so

Answer

hayalci 在评论中回答了这个问题：

auth sufficient pam_ldap.so
auth sufficient pam_unix.so nullok_secure try_first_pass
auth required pam_deny.so

Question 2

如果本地用户和网络用户位于不同的 uid 范围内（这是一个好主意），您可以添加如下一行（假设本地用户位于 0-4999 范围内）：

auth [success=1 default=ignore] pam_succeed_if.so uid >= 5000 quiet

行之前pam_unix.so。如果 uid >= 4999，它将传递 1 行。它将直接转到 pam_ldap.so。

如果之前没有要求输入密码的行，则您必须更改pam_ldap.so use_first_pass为pam_ldap.so或。pam_ldap.so try_first_passpam_ldap.so

我会测试：

auth [success=1 default=ignore] pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_unix.so nullok_secure
auth requisite pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_ldap.so
auth required pam_deny.so

Answer

如果本地用户和网络用户位于不同的 uid 范围内（这是一个好主意），您可以添加如下一行（假设本地用户位于 0-4999 范围内）：

auth [success=1 default=ignore] pam_succeed_if.so uid >= 5000 quiet

行之前pam_unix.so。如果 uid >= 4999，它将传递 1 行。它将直接转到 pam_ldap.so。

如果之前没有要求输入密码的行，则您必须更改pam_ldap.so use_first_pass为pam_ldap.so或。pam_ldap.so try_first_passpam_ldap.so

我会测试：

auth [success=1 default=ignore] pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_unix.so nullok_secure
auth requisite pam_succeed_if.so uid >= 4999 quiet
auth sufficient pam_ldap.so
auth required pam_deny.so

Question 3

你的：

auth sufficient pam_unix.so nullok_secure  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_ldap.so use_first_pass  
auth required pam_deny.so

更改为：（use_first_pass 表示使用前一个模块即 pam_ldap.so 的密码）

auth sufficient pam_ldap.so  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_unix.so use_first_pass nullok_secure  
auth required pam_deny.so

缺点（对于 hpux）：如果你的 ldap 服务器挂了（同步攻击；参见https://fedorahosted.org/389/ticket/47554) 您的客户端也会挂起，这种情况发生在 HPUX 服务器上（不是 Linux 和 AIX；hpux 进程名为 ldapclientd）。这意味着所有登录（甚至从 ILO/MP 以 root 身份登录）都被阻止。解决方案是重新启动服务器 :-(。所以我更喜欢在 hpux 上使用 pam_unix 而不是 pam_ldap

Answer

你的：

auth sufficient pam_unix.so nullok_secure  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_ldap.so use_first_pass  
auth required pam_deny.so

更改为：（use_first_pass 表示使用前一个模块即 pam_ldap.so 的密码）

auth sufficient pam_ldap.so  
auth requisite pam_succeed_if.so uid >= 1000 quiet  
auth sufficient pam_unix.so use_first_pass nullok_secure  
auth required pam_deny.so

缺点（对于 hpux）：如果你的 ldap 服务器挂了（同步攻击；参见https://fedorahosted.org/389/ticket/47554) 您的客户端也会挂起，这种情况发生在 HPUX 服务器上（不是 Linux 和 AIX；hpux 进程名为 ldapclientd）。这意味着所有登录（甚至从 ILO/MP 以 root 身份登录）都被阻止。解决方案是重新启动服务器 :-(。所以我更喜欢在 hpux 上使用 pam_unix 而不是 pam_ldap

Question 4

我想说这个解决方案对我有用！我在使用 free-ipa 时遇到了同样的问题，在我的 /etc/pam.d/system-auth 文件中使用此设置避免了额外的“身份验证失败”错误：

auth        required      pam_env.so
auth        sufficient    pam_sss.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Answer

我想说这个解决方案对我有用！我在使用 free-ipa 时遇到了同样的问题，在我的 /etc/pam.d/system-auth 文件中使用此设置避免了额外的“身份验证失败”错误：

auth        required      pam_env.so
auth        sufficient    pam_sss.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

pam_ldap.so 先于 pam_unix.so？有可能吗？

答案1

答案2

答案3

答案4

相关内容