Configurei a autenticação radius na minha máquina (como cliente - ainda não testado).
O arquivo pam radius conf tem o segredo compartilhado, etc. A autenticação radius pode potencialmente autenticar cada usuário na organização (eu não controle o servidor de autenticação) - 10000 usuários ou mais.
Eu configurei pam_listfile.so adicionalmente usando o sentido de permitir com item como grupo.
O que estou tentando realizar é o seguinte:
Eu tenho um usuário local (veja 1 acima) em / etc / passwd. Esse usuário está no grupo chamado admin, que é um dos grupos no arquivo sshd.allow. Isso contém:
group1
group2
group3
admin
Todos esses grupos são definidos em / etc / group com certos membros.
Quando eu tento autenticar com outro usuário (que não está em / etc / passwd, mas é um membro do group1, eu acho que a autenticação falha. Eu tenho auth.log tail'ed, e parece indicar que minha máquina nem sequer tenta autenticar esse usuário contra o servidor radius.
Comecei com uma configuração Debian vanilla e adicionei apenas linhas correspondentes a pam_radius, pam_listfile e pam_mkhomedir. Eu não toquei em mais nada.
Assim, é possível que alguma configuração padrão na configuração do pam esteja atrapalhando as coisas (uma diretiva de autenticação incorreta, que supõe a autenticação local baseada em / etc / passwd, talvez?). Ou pelo menos esse é o meu palpite. O auth.log refere-se ao nome de usuário fornecido (mesmo antes de inserir a senha sobre o ssh) como um usuário inválido.
Minha pergunta é - é possível fazer o que estou tentando fazer (veja acima)? Em caso afirmativo, postarei detalhes de configuração para obter sua ajuda na depuração.