Credenciais locais usadas quando o servidor radius está disponível sshd pam_radius

Navegue suas respostas
1

Eu tenho pam_radius configuração e funciona (centos6, pam_radius: 1.4.0-2.el6), eu posso autenticar através do servidor radius usando ssh. O que eu estou tentando fazer é que quando o servidor radius não está disponível para voltar para uma conta local. As duas senhas são diferentes (local vs AD), pois o AD tem uma política mais rígida de alteração de senha. Eu tentei algumas coisas: /etc/pam.d/sshd

auth pam_radius_auth.so depuração suficiente auth include password-auth

Agora isso funciona enquanto o servidor radius (como definido em "/etc/pam_radius.conf") não estiver disponível (usou um IP defeituoso no pam_radius.conf).
O desafio começa quando o servidor radius está realmente disponível, eu sou capaz de fazer o login usando o raio e as credenciais de autenticação local. Eu tenho duas perguntas.

 1. Estou entendendo mal a falha do módulo (PAM), a falha também pode ser a falha na autenticação como uma senha incorreta ou quando o usuário não é válido ou está presente no servidor do AD. O que se entende com falha de módulo?
 2. Existe uma maneira de configurar isso como gostaria de configurá-lo? isto é, só recorre à autenticação local quando a conexão do servidor radius falha?

Ou ... talvez o método normal seja não ter senhas locais e usar uma conta de fallback que não seja uma conta do AD, para que, quando tudo falhar, essa conta possa ser usada. A questão então é como evitar que as pessoas usem essa conta quando o raio estiver disponível.

    
por Thijn 08.03.2016 / 10:18

1 resposta

0

  1. I am in misunderstanding of the (PAM) module failure, failure could maybe also be failure to authenticate like a wrong password,or when the user is not a valid or present on the AD server. What is meant with module failure?

Falha neste contexto significa que "o módulo retornou algum status diferente de success ". A lista de erros pode ser encontrada em man pam.conf ou em /usr/include/security/_pam_types.h .

O caso mais comum de falha é a falha na autenticação.

  1. Is there a way to set this up like i would like to have it set up? i.e only fall back to local authentication when the radius server connection fails?

Se você quiser um comportamento específico para um determinado tipo de erro , há dois requisitos:

  1. Você deve usar a sintaxe mais avançada do PAM.
  2. Você deve saber o código de erro exato para o qual você precisa de tratamento especial.

O problema # 1 é complicado, mas superável. Problema # 2 requer mais pesquisa. O módulo deve documentar os erros exatos que retornará e em quais circunstâncias, ou você terá que descobrir por si mesmo. Este último envolve tipicamente escavar através do código fonte.

A pesquisa dos comportamentos exatos deste módulo PAM excede o escopo imediato da questão, e estou um pouco sem tempo no momento. :)

    
por 08.03.2016 / 16:04

Tags

Significado de cada campo nas estatísticas do uWSGI O serviço FTP (IIS 7.5) no Windows 2008 R2 oferece suporte à autenticação Kerberos?