我已经编辑了我的/etc/pam.d/sshd
Radius 身份验证;我添加了以下行:
auth required pam_radius_auth.so
另外,我注释掉了以下行:
@include common-auth
现在,如果 Radius 服务器处于启动状态,则使用 Radius 进行 SSH 身份验证是可以的,但是如果 Radius 服务器处于关闭状态,则无法回退到使用本地 Linux 帐户。
当我的 Radius 服务器出现故障时,有什么建议可以让我在哪里编辑文件以允许我恢复到本地 Linux 帐户?
答案1
启用 common-auth (包括pam_unix.so
),并将“required”更改为“sufficient”。
auth sufficient pam_radius_auth.so
@include common-auth
(2016/05/03 JST)“后备”设置
auth [success=done default=bad authinfo_unavail=bad ignore=ignore] pam_radius_auth.so localifdown
@include common-auth
pam_radius_auth 在以下各个情况下的结果:
| correct password (in Radius) | wrong (or UNIX) password
-----------------------+--------------------------------------+-------------------------
Radius Server is alive | PAM_SUCCESS | PAM_AUTHINFO_UNAVAIL
-----------------------+--------------------------------------+-------------------------
Radius Server is dead | PAM_IGNORE (with localifdown option)
-----------------------+--------------------------------------+-------------------------
因此:
PAM_SUCCESS => done (Login success)
PAM_AUTHINFO_UNAVAIL => bad (Login failure)
PAM_IGNORE => ignore (continue to "common-auth")
需要注意的是,如果 pam_radius_auth.conf 中的超时值太小,它会在收到 Radius 服务器的“访问拒绝”之前判断“Radius 服务器已死”。