问题标签 [pam]

我遇到了 Active Directory 和 PAM 的问题，但这可能适用于其他地方。

通过 PAM 设置 Yubikey 以利用 VPN 连接的双因素身份验证，我需要为联系 AD/LDAP 服务器的绑定用户设置一个 binddn。不幸的是，在 binddn 中有一个容器，里面有一个空格，而 PAM 不允许这个空间，也不允许我逃脱它。例子：

我试过 OU="other accounts"、OU=other\accounts、OU='other accounts'，并将整个 binddn 放在双引号和单引号中。每次在 PAM 调试中，我都会得到：

如您所见，在列表中看到空格、引号或转义字符作为 binddn 的一部分后，它会被切断，如下所示：

我该怎么做才能让 PAM 认识到这个空间不是为了分隔另一个字段？

我又回到了为 OSX 编写 PAM 模块的永无止境的传奇中。我已经编写了模块。它在使用 ssh 或启动新的终端窗口或 su 时有效。我真正、真正、真正想要的只是 ssh 和登录窗口。

我的 PAM 模块在“会话”模式下工作。它要么返回 PAM_SUCCESS 要么返回 PAM_IGNORE。同样，它适用于其他 PAM 感知系统，如 ssh 和 su。我真的很想进入登录窗口。知道如何使用 OSX 和 openPAM 做到这一点吗？

我已经看到了一些建议使用“pam.d/authenticate”文件的潜在答案。这还没有奏效。在那里设置我的会话线路似乎会导致系统与 Active Directory 的连接失败。

我还尝试创建一个“pam.d/loginwindow”文件，以防万一有它的规定——不高兴。

想法？

我正在尝试找到一个可以帮助提出问题以结束身份验证的模块。例如，当我在 ssh 中连接时，模块会要求我解决方程式或回答问题。

具体来说，运行一系列postfix、dovecot和nginx来为（不是很多）用户提供“不错的”邮件服务。所有服务共享可插入身份验证模块 (PAM)作为可能的身份验证方法。目前，系统的“passwd”数据库正用于通过 PAM 再次进行身份验证。

AWS Identity and Access Management (IAM)是一项硬性要求。因此，任何其他服务（如duosecurity）都不是一种选择。在我开始编写 PAM 模块之前，我想问问你的经验——你会怎么做？谢谢！

我已经修改了示例 python 脚本：

这有效，但要求我输入密码。我想验证作为参数传递的密码（sys.argv[2]）。文档不存在，那么我该怎么做呢？

我一直在对 ssh (openssh) 和 radius 进行大量研究。

我想做的事：

使用存储在 radius 服务器或 ldap 存储中的凭据（用户名和密码）通过 SSH 连接到设备。我一直在网上阅读，有些人指出在您的 radius 服务器的后台运行 ldap 服务器。这将起作用，但仅当在本地计算机中找到用户时才会起作用。

问题：有没有办法让我通过包含凭据的 radius 服务器登录来 ssh（或 telnet）到我的设备？如果没有，客户端（我尝试连接的机器）是否有办法获取更新的凭据列表并将其从中心位置存储在本地（无论是半径服务器还是 sql 数据库等）。

我已经能够通过 Radius 进行连接，但仅限于本地帐户，但例如，如果我尝试连接本地不存在的帐户（客户端），我会得到“不正确”

这是半径输出：代码：

代码：

我还安装了 pam_radius，并且它可以正常工作（可以登录本地存在的帐户）。虽然我读了这篇文章，但不知道这是否 100% 准确：

http://freeradius.1045715.n5.nabble.com/SSH-authendication-with-radius-server-fails-if-the-user-does-not-exist-in-radius-client-td2784316.html 和 http： //fhf.org/archives/713

tl:dr：我需要 ssh 到本地没有用户/密码的机器，并且该组合将远程存储，例如半径服务器或 ldap。

请指教

附言

该解决方案最好使用 radius 服务器或 ldap，但不是必需的。如果有替代品，请告知。

谢谢，

凯文

我一直在尝试在 Cent OS 6.3 机器上设置 FreeRADIUS Google Dual Factor Authenticator。我已经安装了所有东西。

我的 /etc/pam.d/raduis 文件看起来像这样

但是，如果我删除最后两行并取消注释其他行，则此设置似乎有效，我收到以下消息

然而，目前这两条线得到的是

然后我停止了radius服务并像radius -XXX一样启动它并得到了输出

我按照http://www.supertechguy.com/help/security/freeradius-google-auth的说明进行设置。

你能请教吗？

非常感谢。

我用 c 和以下代码编写了一个 pam 模块，导致我的 pam 将其吐出。

sudo：pam_authenticate：模块未知

我正在尝试获取字符串的 md5 哈希值。

如果我这样评论它就可以了

我注释掉代码，我得到了这个..

尽管我为什么在使用 pam 时尝试获取 md5 哈希是微不足道的，但我正在做一些事情，出于某种原因 pam 不喜欢。有人知道解决方法吗？

我按照此处描述的说明进行操作，但是当它说

到它说的“ pam_mysql-0.7RC1 ”

在我的外壳中，所以我想知道如何解决这个问题。使用 Debian 3.2.46-1 x64

在我的 Node.js 应用程序中，我使用 pam 身份验证，并且我使用的模块需要安装 libpam-dev（或 pam-devel），否则将无法编译。它生成的错误消息对用户不是很友好，而且很多人不会费心阅读文档。

我想使用 NPM 中的 preinstall 钩子来检查标头是否可用，如果没有，则显示一个友好的错误，然后在 NPM 尝试安装模块之前终止它。

我知道如何杀死 NPM，只是不知道如何检查 pam 标头是否可用。解决方案应该与发行版无关。