我们的一些 AWS 机器上存在问题,这些机器运行的是被黑客入侵的 Amazon Fedora/RHEL Linux,其中 AD 中的新用户可以使用密码登录,但无法进行 sudo 身份验证。不久前在 AD 中创建的用户没有问题,这似乎不符合服务器上的模式(例如,我们从同一个 ami 同时创建了 3 个服务器,其中 2 个运行正常,1 个失败)。日志中的错误格式如下,首先是通过密码成功登录:
1 月 18 日 18:35:37 HOSTNAME sshd[24496]: pam_krb5[24496]: ‘USERNAME’ 身份验证成功([电子邮件保护])
1 月 18 日 18:35:37 HOSTNAME sshd[24496]: 已接受来自 local_ip 端口 45236 ssh2 的 USERNAME 密码
1 月 18 日 18:35:37 HOSTNAME sshd[24496]: pam_unix(sshd:session): 会话已由 (uid=0) 为用户 USERNAME 打开
1 月 18 日 18:35:43 HOSTNAME sudo:pam_unix(sudo:auth):身份验证失败;logname=USERNAME uid=10764 euid=0 tty=/dev/pts/2 ruser=USERNAME rhost= user=USERNAME
1 月 18 日 18:35:43 HOSTNAME sudo: pam_krb5[24526]: 帐户检查失败'[电子邮件保护]':.k5login 文件不允许使用“USERNAME”的用户
1 月 18 日 18:35:43 HOSTNAME sudo: pam_krb5[24526]: “USERNAME” 身份验证失败([电子邮件保护]): 权限被拒绝 (成功)
我仔细检查了用户是否没有 .k5login 文件,没有,并且只添加了一个'[电子邮件保护]' 不会改变行为或日志消息。我还尽可能地验证了这些新用户在 AD 中并没有什么不同,但我远不是这方面的专家,所以如果我知道在哪里查找的话,可能还有其他需要检查的地方
谢谢
答案1
添加/etc/krb5.conf
以下几行:
[appdefaults]
pam = {
[....]
EXAMPLE.COM = {
ignore_k5login = true
}
}
EXAMPLE.COM
你的 AD 领域在哪里?