如果 Radius 服务器不可用,则 SSH 回退到本地帐户

如果 Radius 服务器不可用,则 SSH 回退到本地帐户

我已经编辑了我的/etc/pam.d/sshdRadius 身份验证;我添加了以下行:

auth required pam_radius_auth.so

另外,我注释掉了以下行:

@include common-auth

现在,如果 Radius 服务器处于启动状态,则使用 Radius 进行 SSH 身份验证是可以的,但是如果 Radius 服务器处于关闭状态,则无法回退到使用本地 Linux 帐户。

当我的 Radius 服务器出现故障时,有什么建议可以让我在哪里编辑文件以允许我恢复到本地 Linux 帐户?

答案1

启用 common-auth (包括pam_unix.so),并将“required”更改为“sufficient”。

auth    sufficient      pam_radius_auth.so
@include common-auth

(2016/05/03 JST)“后备”设置

auth    [success=done default=bad authinfo_unavail=bad ignore=ignore]  pam_radius_auth.so localifdown
@include common-auth

pam_radius_auth 在以下各个情况下的结果:

                       | correct password (in Radius)         | wrong (or UNIX) password
-----------------------+--------------------------------------+-------------------------
Radius Server is alive | PAM_SUCCESS                          | PAM_AUTHINFO_UNAVAIL
-----------------------+--------------------------------------+-------------------------
Radius Server is dead  |             PAM_IGNORE (with localifdown option)
-----------------------+--------------------------------------+-------------------------

因此:

PAM_SUCCESS          => done (Login success)
PAM_AUTHINFO_UNAVAIL => bad (Login failure)
PAM_IGNORE           => ignore (continue to "common-auth")

需要注意的是,如果 pam_radius_auth.conf 中的超时值太小,它会在收到 Radius 服务器的“访问拒绝”之前判断“Radius 服务器已死”。

相关内容