2. 질의 응답
  3. Pam 인증, 먼저 로컬 사용자와 LDAP를 시도하십시오.

Pam 인증, 먼저 로컬 사용자와 LDAP를 시도하십시오.

2017-12-15 2 views
0

nscd deamon을 사용하여 RH5의 Oracle Unified Directory에 pam 인증을 설정합니다.Pam 인증, 먼저 로컬 사용자와 LDAP를 시도하십시오.

먼저 로컬 사용자에 대해 인증을 시도한 다음 사용자가 LDAP에 연락을 시도하지 못하도록하려고합니다.

passwd:  files ldap 
shadow:  files ldap 
group:  files ldap

을하지만이 LDAP 서버가 다운되면, 내가 서버에 로그인 할 수 아니에요 때문에 작동하지 않는 것 같다 그래서 나는이 방법으로 의 /etc/nsswitch.conf을 편집했다.

내가 누락 된 항목이 있습니까?

편집 :

이 내 PAM의 /etc/pam.d/ssod로 (난 단지 nscd를, SSSD를 사용하지 않는).

#%PAM-1.0 
# This file is auto-generated. 
auth  required  pam_env.so 
auth  sufficient pam_unix.so nullok 
auth  sufficient pam_ldap.so use_first_pass ignore_authinfo_unavail 
auth  required  pam_deny.so 

account required  pam_unix.so broken_shadow 
account required  pam_ldap.so ignore_unknown_user ignore_authinfo_unavail 
account required  pam_permit.so 

password requisite  pam_cracklib.so try_first_pass retry=3 
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 
password required  pam_ldap.so try_first_pass ignore_unknown_user ignore_authinfo_unavail 
password required  pam_deny.so 

session optional  pam_keyinit.so revoke 
session required  pam_limits.so 
session optional  pam_mkhomedir.so skel=/etc/skel umask=077 
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid 
session required  pam_unix.so 
session optional  pam_ldap.so ignore_authinfo_unavail

내가 디버그에서 시스템 인증을 설정하고이 결과 : 아직 답을 찾지 않은

Dec 20 17:46:38 <hostname> nscd: nss_ldap: failed to bind to LDAP server ldap://<dns_1>:3389: Can't contact LDAP server 
Dec 20 17:46:38 <hostname> nscd: nss_ldap: failed to bind to LDAP server ldap://<dns_2>:3389: Can't contact LDAP server 
Dec 20 17:46:38 <hostname> nscd: nss_ldap: failed to bind to LDAP server ldap://<ip_1>:3389: Can't contact LDAP server 
Dec 20 17:46:38 <hostname> nscd: nss_ldap: failed to bind to LDAP server ldap://<ip_2>:3389: Can't contact LDAP server

출처

2017-12-15 GoingSolo

+0

어떻게 PAM 구성이 보이나요? SSSD도 구성 했습니까? PAM 모듈이 PAM-> SSSD-> LDAP와 같은 LDAP를 간접적으로 공격하려고합니다. – Roshith

+0

안녕하세요 @Roshith, PAM으로 편집했습니다. SSSD를 사용하지 않고 있습니다. 단지 nscd 데몬을 사용하고 있습니다. – GoingSolo

+1

Prima facie theren 구성에 문제가 없습니다. PAM 디버그를 켜서 로그인 프로세스가 깨진 부분을 추적 할 수 있습니다. – Roshith

답변

0

문제를 발견했습니다. 이에

account required  pam_unix.so broken_shadow

:

account sufficient  pam_unix.so broken_shadow

가 너무 그 파일이있는 경우 /etc/pam.d/password-auth-ac에서 같은 지침을 변경해야합니다

해상도는 /etc/pam.d/systhem-auth-ac에서이 라인을 변경하는 것입니다. 이제 화이트리스트를 통해 nss_initgroups_ignoreusers을 올바르게 작동시켜야합니다.

출처

2018-01-15 12:00:51 GoingSolo

0

. 여전히 LDAP 서버에 연결하려고하지만 에 nss_initgroups_ignoreusers 지시문을 추가했습니다. 따라서이 지시문에 선언 된 사용자의 경우 LDAP 서비스가 모두 다운 된 경우에도 시스템에 로그인 할 수 있습니다.

이 지시문은 LDAP SERVICE가 작동 중지되었지만 컴퓨터가 &으로 실행중인 경우에만 작동하며 LDAP SERVER를 바인딩하려고 시도하기 때문에 계속 실행됩니다.

유휴 시간 초과를 방지하려면 확인 지침에 실패하면 LDAP SERVER에 대한 연결을 시간 종료하기 위해이 지시문 idle_timelimit/etc/ldap.conf에 추가해야합니다.

어쨌든 이들은 두 가지 해결 방법이며 문제의 해결책은 아닙니다.

출처

2018-01-11 17:43:25 GoingSolo

관련 문제

 관련 문제