我们在系统身份验证配置文件中使用 pam_tally2,这对用户来说很好。对于 SCOM 或 Nervecenter 等服务,它会导致锁定。
RHEL5 和 RHEL6 上的行为相同
这是 /etc/pam.d/nervecenter
#%PAM-1.0
# Sample NerveCenter/RHEL6 PAM configuration
# This PAM registration file avoids use of the deprecated pam_stack.so module.
auth include system-auth
account required pam_nologin.so
account include system-auth
这是 /etc/pam.d/system-auth
auth sufficient pam_centrifydc.so
auth requisite pam_centrifydc.so deny
account sufficient pam_centrifydc.so
account requisite pam_centrifydc.so deny
session required pam_centrifydc.so homedir
password sufficient pam_centrifydc.so try_first_pass
password requisite pam_centrifydc.so deny
auth required pam_tally2.so deny=6 onerr=fail
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 minclass=3 minlen=8 lcredit=1 ucredit=1 dcredit=1 ocredit=1 difok=1
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=8
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
登录确实有效,但它也会触发 pam_tally 计数器,直到达到 6 次“错误”登录。
周围是否有任何 pam-ninjas 可以发现此问题?
谢谢。
答案1
我发现了问题。
阅读一些错误和问题
- https://bugzilla.redhat.com/show_bug.cgi?id=707660
- http://www.redhat.com/archives/pam-list/2008-July/msg00017.html
需要指定 pam_tally2授權和帐户。登录成功后,这将重置其计数器。
将其更改为以下内容已解决问题
auth required pam_tally2.so deny=6 onerr=fail
account required pam_tally2.so
主要原因是 SCOM 尝试了不同的身份验证方法。虽然有些方法失败了,但有一种方法成功了。问题是计数器从未自行重置。