用户认证总结

最新推荐文章于 2024-05-22 19:33:46 发布
最新推荐文章于 2024-05-22 19:33:46 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 运维二三事 文章标签: ldap sshd pam 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ztq157677114/article/details/51074225
版权

客户实施过程中,遇到通过LDAP认证登陆计算节点,密码登陆一直失败,通过一顿的查资料才解决问题。解决后才发现有更简单的方法,记录如下。

三个配置文件

登陆计算节点,查看一下三个配置文件,该配置文件涉及用户认证方式。
1. /etc/pam_ldap.conf

cat /etc/pam_ldap.conf | grep -v ^$ | grep -v ^#
host 192.168.242.100
base dc=clustertech,dc=com
uri ldap://192.168.242.100
ldap_version 3
  1. /etc/pam.d/sshd
#%PAM-1.0
auth       required pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

sshd模块决定用户认证过程中采用的方式,主要关注include后面的方式会有system-auth、password-auth,采用password-auth
备注:/etc/pam.d/sshd模块还有许多其他功能,比如登陆安全设置(失败次数限制)、允许/禁止特定的用户登录,可以自行查找相关资料
3. /etc/nslcd.conf

cat /etc/nslcd.conf | grep -v ^$ | grep -v ^#
uid nslcd
gid ldap
uri ldap://192.168.242.100
base dc=clustertech,dc=com
ssl no
tls_cacertdir /etc/openldap/cacerts

问题主要出在sshd模块上面,举一反三,在/etc/pam.d/下面的其他模块,比如su、sudo等均需要修改成password-auth,主要password-auth中也要引入ldap模块

cat /etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

authconfig命令

authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com:389,ldap://ldap2.example.com:389 --ldapbasedn="ou=people,dc=example,dc=com" --enableldaptls --ldaploadcacert=https://ca.server.example.com/caCert.crt --update

http://www.idevelopment.info/data/LDAP/LDAP_Resources/OPENLDAP_Configure_System_to_Authenticate_Using_OpenLDAP_CentOS6.shtml

https://www.certdepot.net/ldap-client-configuration-authconfig/

补充:

当nis或ldap客户端也存在和server中一样的用户时,要注意nsswitch.conf文件。最好的解决办法是删除client端中的相同用户。

Wiil
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
system-authpassword-auth的区别
weixin_53389944的博客
04-28 531
配置文件是系统的全局认证配置文件,通常包含系统范围内适用的认证规则和策略。配置文件是特定于密码管理的PAM配置文件,通常包含与用户密码相关的认证规则和策略。但如果新的安全策略涉及到密码管理方面,可能需要同时在两个配置文件中进行添加。中添加新的PAM安全策略,这样可以确保所有服务和应用程序都遵循相同的认证规则。是系统范围的全局认证配置文件,可以确保新的安全策略适用于系统上的所有服务和应用程序。是两个不同的PAM配置文件,它们在系统上的作用和功能略有不同。如果你想特定于密码管理的策略,也可以将其增加到。
Django 用户认证组件使用详解
09-19
总结来说,Django的用户认证组件提供了强大的用户管理功能,包括用户验证、登录、注销以及权限控制。通过`auth`模块的函数和`User`模型,我们可以轻松地构建安全的Web应用程序,确保只有经过验证的用户才能访问受...
用户认证方式小总结
whp404的博客
09-24 404
本文参考了 深入浅出用户认证鉴权 Cookie 和 Session方式登录 获取cookie时要考虑域名的限制 假设访问的是 a.baidu.com,那么前端 Cookie 的 Domain 只能设置 a.baidu.com,和其父域名 baidu.com,如果设置成同级域名,如 b.baidu.com 或者子域名 a.aa.baidu.com,那么 Cookie 设置将无效。 当 Co...
geoserver 添加权限验证 AuthKey
最新发布
生命不息,学习不止
05-22 401
geoserver 添加权限验证 AuthKey,以及前端的使用
Linux密码复杂度设置及登录失败策略设置
DaQiangZhuang的博客
11-14 4373
Ubuntu和CentOS设置密码规则和登录失败策略,登录失败锁定。
Linux就这个范儿 第14章 身在江湖
weixin_34162629的博客
03-27 533
Linux就这个范儿 第14章 身在江湖   “有人的地方就有江湖”,如今的计算机世界就像一个“江湖”。且不说冠希哥有多么无奈,把微博当QQ的局长有多么失败,就说如此平凡的你我什么时候就成了任人摆布的羔羊也一点都不奇怪。计算机的安全问题一直让我们深受其害。可以说,使用过计算机的人就没有不被病毒、蠕虫甚至木马侵害过的。轻一点的少几个文件或做个勤快的“肉鸡”,严重的可能别人知道你银行密码的速度比你...
SSH密码验证绕过
weixin_33961829的博客
07-04 336
2019独角兽企业重金招聘Python工程师标准>>> ...
PAM介绍
weixin_42946318的博客
08-26 2345
PAM 概述 在linux中进行身份或者状态的验证程序是由PAM进行的,PAM是可动态加载验证模块,由于可以按需要动态的对验证的内容进行变更,因此可以大大提高验证的灵活性。 PAM使用/etc/pam.d/目录下的文件来管理对程序的认证方式,调用相应的配置文件,从而调用本地的认证模块(认证模块存放在/lib64/security)。 pam主要由动态库与配置文件构成: 动态库 库文件(认证模块)存放在目录/lib64/security下。 配置文件 /etc/pam.d/目录中定义了各种 程序和服务 的P
.net实现网站用户登录认证
10-23
总结来说,.NET中的网站用户登录认证主要通过Forms Authentication实现,它涉及到创建和管理身份验证ticket、设置cookie以及验证用户身份。这个过程确保了用户的安全登录体验,同时也方便开发者在多个页面间维护用户...
Apache 认证总结
01-11
这就是用户认证的一种技术。用户认证是保护网络系统资源的第一道防线,它控制着所有登录并检查访问用户的合法性,其目标是仅让合法用户以合法的权限访问网络系统的资源。基本的用户认证技术是“用户名+密码”。 ...
Android的OkHttp包处理用户认证的代码实例分享
09-02
总结来说,OkHttp通过`Authenticator`接口提供了一种灵活的方式来处理HTTP用户认证,无论是基本认证还是更复杂的挑战,开发者都可以根据需要定制自己的认证逻辑。这使得OkHttp成为Android应用中进行网络请求时处理...
PowerShell用户认证Function实例代码
09-01
总结来说,`Test-UserCredential`函数是PowerShell中实现用户认证的一个实用工具。它利用.NET Framework的`System.DirectoryServices.AccountManagement`类库,提供了一种简洁的方法来验证用户身份,无论是本地还是...
centos7.4 安全漏洞修复
yztezhl的专栏
12-22 1933
1.未设置密码尝试次数锁定 编辑以下文件/etc/pam.d/system-auth, /etc/pam.d/password-auth, /etc/pam.d/sshd, /etc/pam.d/login, /etc/pam.d/kscreensaver, /etc/pam.d/gdm-password, 在文件第一行加 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600 2.账
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
UsernamePasswordAuthenticationFilter 认证源码分析
weixin_46135502的博客
03-20 439
一、认证流程图 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
linux尝试登录失败后锁定用户账户的两种方法
weixin_30628801的博客
10-23 1217
一、pam_tally2模块 用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。 配置 使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 auth required pam_tally2.so deny=3 unlock_time=600 ...
CentOS-CentOS原始/etc/pam.d/system-auth文件内容
centerschool的博客
06-29 1万+
auth        required      pam_env.so        //登录后的环境变量。required表示一个错误则全返回错误,只不过最后返回错误 auth        sufficient    pam_fprintd.so     //指纹认证。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。 auth        sufficient  
centos7或centos8设置ssh登录次数限制
sumengnan的博客
02-26 1万+
1、查看有无 pam_tally2模块 命令:whereis pam_tally2 2、修改配置文件 1、服务器终端(tty登录): vim /etc/pam.d/system-auth 或vim /etc/pam.d/login都一样,因为login使用了system-auth。 文件第一行增加auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root...
WLAN无线用户安全认证.pptx
11-19
宽带接入技术

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值