那些遇到过的问题

CentOS 需要输入两次密码才能进行 sudo 登录

Mat*_*ips 6 login password ldap centos authentication

在每次登录或 sudo 提示时,服务器总是在第一次提供密码时拒绝密码,但第二次接受密码。我发现这个线程描述了似乎是相同的问题,但是按照那里描述的解决方案的行玩我的 /etc/pam.d/system-auth 文件对我不起作用。例如,将“try_first_pass”的第一个实例更改为“use_first_pass”会导致登录身份验证不断失败,删除“nullok”也是如此。有谁知道需要更改什么才能使系统第一次接受正确的密码?

/etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
Run Code Online (Sandbox Code Playgroud)

编辑:为了回应评论,这里是/etc/pam.d/login:

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so
Run Code Online (Sandbox Code Playgroud)

让我补充一下,我所知道的关于授权的所有信息是我在过去一个小时左右能够在谷歌上搜索的内容——我正在绝望地解决这个问题,因为我们的 IT 人员还没有。所以请相应地提出你的答案。我对 Linux 有一个合理的一般熟悉。

编辑:响应另一条评论,这是在典型的登录尝试(两次都正确输入密码)期间显示在 /var/log/secure 中的内容。服务器名称和 IP 等信息已更改。

Oct 28 07:37:41 myserver sshd[944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=asus-laptop-abc.def.ghi.edu  user=matt
Oct 28 07:37:41 myserver sshd[944]: pam_ldap: ldap_starttls_s: Operations error
Oct 28 07:37:43 myserver sshd[944]: Failed password for matt from 123.456.78.90 port 12345 ssh2
Oct 28 07:37:47 myserver sshd[944]: pam_sss(sshd:account): Access denied for user matt: 10 (User not known to the underlying authentication module)
Oct 28 07:37:47 myserver sshd[944]: Accepted password for matt from 123.456.78.90 port 12345 ssh2
Oct 28 07:37:47 myserver sshd[944]: pam_unix(sshd:session): session opened for user matt by (uid=0)
Run Code Online (Sandbox Code Playgroud)

有趣的是,上面的情况与我第一次输入真正不正确的密码时发生的情况不同,在这种情况下,第一次pam_ldap调用后会有以下附加行:

Oct 28 08:13:13 myserver sshd[1054]: pam_ldap: error trying to bind as user "uid=matt,ou=People,dc=abc,dc=ghi,dc=edu" (Invalid credentials)
Run Code Online (Sandbox Code Playgroud)

所以系统知道在前一种情况下凭据是正确的,但无论如何登录失败?!这是当我调用 use sudo 时会发生什么,这也强制双重登录(在这种情况下使用 nano 读取 /var/log/secure):

Oct 28 08:13:27 myserver  sudo: pam_unix(sudo:auth): authentication failure; logname=matt uid=1000 euid=0 tty=/dev/pts/2 ruser=matt rhost=  user=matt
Oct 28 08:13:32 myserver sudo:     matt : TTY=pts/2 ; PWD=/home_dir/home/matt ; USER=root ; COMMAND=/bin/nano /var/log/secure
Run Code Online (Sandbox Code Playgroud)

编辑:当我以 root 身份登录时,此问题不存在!它在第一次尝试时接受密码, /var/log/secure 看起来像这样,我认为这是正常的:

Oct 29 14:25:58 myserver sshd[7074]: Accepted password for root from 123.456.78.90 port 12345 ssh2
Oct 29 14:25:58 myserver sshd[7074]: pam_unix(sshd:session): session opened for user root by (uid=0)
Run Code Online (Sandbox Code Playgroud)

Kai*_*har 1

我似乎没有足够的代表来发表评论,所以这有点像是在黑暗中尝试寻找答案。

pam_ldap:ldap_starttls_s:操作错误

我想知道你的日志的这一部分是否表明了罪魁祸首。我怀疑您的 ldap 配置以某种方式错误处理 tls,导致连接失败。

注意每个模块的响应:

pam_ldap: ldap_starttls_s: Operations error
pam_sss(sshd:account): Access denied for user matt: 10 (User not known to the underlying authentication module)
pam_unix(sshd:session): session opened for user matt by (uid=0)
Run Code Online (Sandbox Code Playgroud)

所以我们这里看到的是 ldap 说它由于错误而失败,sss 说它不知道你是谁,本地身份验证说成功。

需要考虑的方向:

  1. LDAP 服务器日志中是否有任何错误?
  2. 如果可能的话,您可以禁用 TLS 并查看是否有效吗?
  3. ldapsearch 有用吗?

归档时间:

查看次数:

2111 次

最近记录:

10 年,9 月 前
Sudo 使用 LDAP 身份验证两次要求输入密码 5
更多相关链接
相关归档
是否有命令行两步验证验证码生成器? 26
我有 23 台 Web 服务器 - 我需要清除所有服务器 - 在它们之间托管的任何站点上都不会丢失服务 12
MySQL 数据库是 LDAP 的可行替代方案吗? 7
如何在 CentOS 7 上获得最新版本的 nano (4.5)? 6
带有 Openldap 或 Fedora 389 Server 或 FreeIPA 的 Google 身份验证器 5
评估不可纠正的 ECC 错误和回退方法 5
/var/log/httpd/access_log 不再被写入 4
为什么需要为证书创建符号链接? 3
不同子网上的 KeepAlived 2
拔掉电源插头后如何关闭服务器? -1
难疑归档
如何在systemd服务中设置环境变量? 275
挂载 CIFS 主机已关闭 121
如何从 MySQL 导出权限,然后导入到新服务器? 94
最大端口号是多少? 85
如何更改 AWS EC2 安全组的名称和描述? 67
下载 docker 镜像以传输到非互联网连接的机器 67
你如何记录网络? 66
有没有办法避免 SSH 输入延迟? 60
Apache SSL 目录、证书和密钥的权限应该是什么? 59
如何正确设置 NFS 文件夹的权限?安装端的权限被拒绝。 59