(root) FAILED para autorizar o usuário com o PAM (Permission denied)

Navegue suas respostas
0

Ao seguir o / var / log / cron, notei que a tarefa cron está falhando devido às permissões do PAM. No meu access.conf eu tenho o seguinte uncommented para se certificar (ou o que eu pensei que estava certificando-se) que o root tinha permissões para executar tarefas agendadas. 

# User "root" should be allowed to get access via cron .. tty5 tty6.
+ : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6

Estou no Centos 7 Kernel 3.10.0-693.21.1.el7.x86_64, nós o conectamos ao nosso diretório ativo do Windows instanc via realm, sssd, kerberos. Minhas etapas de instalações podem ser encontradas aqui Best Auth Mech se conectar ao Windows AD

Estou perplexo no momento e não consigo descobrir o que pode estar causando isso. Eu verifiquei duas vezes que a senha root não expirou e não tinha. O acesso raiz atual é configurado por meio de grupos de segurança do Windows.

Qualquer ajuda seria muito apreciada!

EDITAR Eu adicionei o debug ao final do meu pam_access.so e recebi o seguinte

crond[17411]: pam_access(crond:account): login_access: user=root, from=cron, file=/etc/security/access.conf crond[17411]: pam_access(crond:account): line 60: - : ALL EXCEPT wheel shutdown sync : LOCAL root crond[17411]: pam_access(crond:account): list_match: list=ALL EXCEPT wheel shutdown sync, item=root crond[17411]: pam_access(crond:account): user_match: tok=ALL, item=root crond[17411]: pam_access(crond:account): string_match: tok=ALL, item=root crond[17411]: pam_access(crond:account): user_match: tok=wheel, item=root crond[17411]: pam_access(crond:account): string_match: tok=wheel, item=root crond[17411]: pam_access(crond:account): user_match: tok=shutdown, item=root crond[17411]: pam_access(crond:account): string_match: tok=shutdown, item=root crond[17411]: pam_access(crond:account): user_match: tok=sync, item=root crond[17411]: pam_access(crond:account): string_match: tok=sync, item=root crond[17411]: pam_access(crond:account): user_match=1, "root" crond[17411]: pam_access(crond:account): list_match: list=LOCAL root, item=root crond[17411]: pam_access(crond:account): from_match: tok=LOCAL, item=cron crond[17411]: pam_access(crond:account): string_match: tok=LOCAL, item=cron crond[17411]: pam_access(crond:account): from_match=1, "cron" crond[17411]: pam_access(crond:account): access denied for user root 'do' cron '

    
por Govna 22.06.2018 / 18:26

2 respostas

0

Acabei reorganizando meu access.conf para o abaixo. De certa forma eu coloquei a entrada do cron como minha segunda entrada no arquivo de configuração que parece definir corretamente as permissões para o root acessar o cron.

# # Disallow non-root logins on tty1 # #-:ALL EXCEPT root:tty1 # # User "root" should be allowed to get access via cron .. tty5 tty6. + : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6 # # Disallow console logins to all but a few accounts. # -:ALL EXCEPT wheel shutdown sync:LOCAL root

Se alguém souber, mas eu suspeito que as permissões são construídas sobre como elas são inseridas na configuração. Mesmo se você tiver permissão por meio de uma entrada na configuração, se uma linha antes da entrada negar o acesso, ela substituirá a entrada da concessão, já que ela veio primeiro?

    
por 25.06.2018 / 15:34
0

Como a próxima linha diz:

crond[17411]: pam_access(crond:account): access denied for user root' from cron'

Parece que foi o cron quem negou o acesso. Verifique se você tem um arquivo cron.allow ou cron.deny em seu sistema, geralmente em seu /etc ou /etc/cron.d diretório. Se você tem um arquivo cron.allow , você precisará adicionar o seu usuário lá, você tem um arquivo cron.deny e o root está listado lá, você precisará removê-lo.

    
por 25.06.2018 / 15:18

Tags

Dado um core-dump, como obter os arquivos abertos pelo processo final? O tráfego TCP não foi encaminhado para o contêiner docker