我正在使用 CentOS 6.3,并且想要启用 ssh RADIUS 身份验证以及 Centos 系统身份验证。
现在我的服务器首先通过 RADIUS 服务器进行身份验证。然后是系统身份验证。我希望服务器首先使用 unix 凭据进行身份验证,然后通过 RADIUS 进行身份验证。
我很确定我在文件 /etc/pam.d/sshd 中设置了一些内容,但我不确定我应该设置什么。
我现在使用的配置是:
auth required /lib64/security/pam_radius_auth.so
auth include system-auth
account required /lib64/security/pam_stack.so service=system-auth
password required /lib64/security/pam_stack.so service=system-auth
session required /lib64/security/pam_stack.so service=system-auth
如果我首先使用 RADIUS 身份验证,然后使用 CENTOS 系统身份验证。我需要将其更改为首先使用 CentOS 系统身份验证,然后使用 RADIUS 身份验证。
答案1
在 pam 配置中,顺序很重要。如果身份验证需要用户同时针对系统和 radius 进行身份验证才能成功,请移至auth include system-auth上方auth required /lib64/security/pam_radius_auth.so。
如果没有,请从 system-auth 文件中获取所有 auth 行并将其复制到此文件。将您从 复制的所有行更改为required并将sufficient其放在 pam_radius_auth.so 上方。注释掉或删除该auth include system-auth行。
如果 pam 遇到足够的行并且通过,它将跳过剩余行进行登录,但失败不会立即中止身份验证过程。如果失败,它将按顺序尝试剩余的行。