pam_unix（sshd：auth）：身份验证失败

2024-5-31 • tag-icon

我有 openldap 和服务器 Debian 8。我想设置 ldap 身份验证。我已经安装了 ldap-utils libnss-ldapd libpam-ldapd 并进行了设置。

# getent passwd user.name
user.name:x:1537:3174:User Name:/home/user.name:/bin/bash
# getent shadow user.name
user.name:*:15140:0:99999:7:::0

当我登录时出现此错误：

9 月 19 日 17:49:49 LDAPClient login[475]: pam_unix(login:auth): 身份验证失败；logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=name.user
9 月 19 日 17:49:49 LDAPClient login[475]: pam_ldap(login:auth): 身份验证失败；user=name.user
9 月 19 日 17:49:53 LDAPClient login[475]: “/dev/tty1” 上的“name.user”登录失败 (1)，身份验证失败

我也设置了ssh，但是有同样的错误：

9 月 19 日 17:46:37 LDAPClient sshd[807]: pam_unix(sshd:auth): 身份验证失败；logname=uid=0 euid=0 tty=ssh ruser=rhost=192.168.60.92 user=name.user 9 月 19 日
17:46:37 LDAPClient sshd[807]: pam_ldap(sshd:auth): 身份验证失败；user=name.user
9 月 19 日 17:46:39 LDAPClient sshd[807]: 从 192.168.60.92 端口 63122 ssh2 输入 name.user 的密码失败
9 月 19 日 17:46:43 LDAPClient sshd[807]: pam_ldap(sshd:auth): 身份验证失败； user=name.user
9 月 19 日 17:46:45 LDAPClient sshd[807]: 从 192.168.60.92 端口 63122 ssh2 输入 name.user 的密码失败

如何修复？我不知道：

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

问题出在acl中：

olcAccess: {2}to dn.subtree="ou=People,dc=example,dc=com"
  by peername.ip="192.168.250.78" read
  by peername.ip="xx.xx.xx.xx" read
  by peername.ip="192.168.250.204" read
  by dn="cn=replica,dc=example,dc=com" read
  by group.exact="cn=Directory Administrators,dc=example,dc=com" manage
  by dn.subtree="ou=Special Users,dc=example,dc=com" read
  by dn.subtree="ou=Special Users,dc=example,dc=com" read
  !!!by * none

olcAccess: {5}to *
  by peername.ip="xx.xx.xx.xx" read
  by peername.ip="192.168.250.204" read
  by group.exact="cn=Directory Administrators,dc=example,dc=com" manage
  by dn="cn=admin,dc=example,dc=com" write
  by dn="cn=replica,dc=example,dc=com" read
  by dn.subtree="ou=Special Users,dc=example,dc=com" read
  !!!by * none

答案1

如果您检查您的影子，则您没有为您的帐户设置密码。---- user.name:*:15140:0:99999:7:::0表示*没有密码。

系统不允许无密码登录。

尝试为您的帐户创建密码并重试登录

答案1

相关内容