我已将 CentOS 6 系统配置为使用带有 ldap 提供程序的 sssd。我可以登录并使用 sudo,但是 /var/log/secure 始终报告身份验证失败:
9 月 18 日 07:09:52 serverA sudo:pam_unix(sudo:auth):身份验证失败;logname=exampleuser uid=10000 euid=0 tty=/dev/pts/1 ruser=exampleuser rhost=user=exampleuser 9 月 18 日 07:09:52 serverA sudo:pam_sss(sudo:auth):身份验证成功;logname=exampleuser uid=10000 euid=0 tty=/dev/pts/1 ruser=exampleuser rhost= user=exampleuser
这导致我的 SIEM 出现误报。我认为问题出在 pam 上。我使用 authconfig 对其进行了配置。有没有办法将 pam 配置为不检查 ldap 用户(例如 X uid 以上的用户)的 /etc/passwd,或者有其他方法可以解决此问题?
答案1
尝试将此行放在文件的开头/etc/pam.d/sshd。
auth sufficient pam_sss.so
答案2
Gabriele 和 mkzero 走在正确的轨道上。
做了一些研究,找到了解决方案。/etc/pam.d/sudo(如上所示)和 /etc/pam.d/sshd 是会生成类似这样的双重日志消息的两个源。默认情况下,pam 首先尝试使用 pam_unix.so 进行身份验证,如果失败,则尝试 pam_sss.so。它们都使用包含来从其他两个 pam 文件中提取设置。要消除此错误,必须在两个文件中更改顺序:
- /etc/pam.d/密码验证
- /etc/pam.d/系统身份验证-ac
将 auth 部分替换为:
auth required pam_env.so
auth sufficient pam_sss.so
auth requisite pam_succeed_if.so uid < 20000 quiet
auth sufficient pam_unix.so nullok try_first_pass
auth required pam_deny.so`
pam_succeed_if.so 设置为不对 uid 大于 20000 的用户(我的 ldap 用户就是这样)使用 pam_unix。如果您忽略此设置,您仍会看到来自 pam_sss 和 pam_unix 的两条身份验证日志消息。