Q&A بيانات الاعتماد المحلية المستخدمة عندما يتوفر خادم نصف القطر sshd pam_radius

لدي إعداد pam_radius وهو يعمل (centos6 ، pam_radius: 1.4.0-2.el6) ، يمكنني المصادقة عبر خادم radius باستخدام ssh. ما أحاول تحقيقه هو أنه عندما يكون خادم نصف القطر غير متاح للرجوع إلى حساب محلي. تختلف كلمتا المرور (محلي مقابل AD) حيث أن AD لديها سياسة تغيير كلمة مرور أكثر صرامة. لقد جربت بعض الأشياء: /etc/pam.d/sshd

المصادقة الكافية pam_radius_auth.so
مصادقة تصحيح الأخطاء تتضمن مصادقة كلمة المرور

الآن هذا يعمل طالما أن خادم نصف القطر (كما هو محدد في "/etc/pam_radius.conf") غير متاح ( استخدام IP خاطئ في pam_radius.conf).
يبدأ التحدي عندما يكون خادم نصف القطر متاحًا بالفعل ، فأنا قادر على تسجيل الدخول باستخدام كل من بيانات اعتماد نصف القطر والمصادقة المحلية.
لدي سؤالان.

1. أنا أسيء فهم فشل وحدة (PAM) ، قد يكون الفشل أيضًا فشلًا في المصادقة مثل كلمة مرور خاطئة ، أو عندما لا يكون المستخدم صالحًا أو موجودًا على خادم AD. ما المقصود بفشل الوحدة؟
2. هل هناك طريقة لإعداد هذا مثلما أرغب في إعداده؟ أي العودة فقط إلى المصادقة المحلية عندما يفشل اتصال خادم نصف القطر؟

أو .. ربما تكون الطريقة العادية هي عدم امتلاك كلمات مرور محلية واستخدام حساب احتياطي ليس حساب AD ، بحيث يمكن استخدام هذا الحساب عند فشل كل الأشياء. يصبح السؤال بعد ذلك كيفية منع الأشخاص من استخدام هذا الحساب عندما يكون النطاق متاحًا.

answer
  1. I am in misunderstanding of the (PAM) module failure, failure could maybe also be failure to authenticate like a wrong password,or when the user is not a valid or present on the AD server. What is meant with module failure?

يعني الفشل في هذا السياق "الوحدة النمطية أرجع أي حالة أخرى غير success". يمكن العثور على قائمة الأخطاء في man pam.confأو في /usr/include/security/_pam_types.h.

أكثر حالات الفشل شيوعًا هي فشل المصادقة.

  1. Is there a way to set this up like i would like to have it set up? i.e only fall back to local authentication when the radius server connection fails?

إذا كنت تريد سلوكًا خاصًا بنوع معين من الخطأ ، فهناك متطلبان:

  1. يجب عليك استخدام صيغة PAM الأكثر تقدمًا.
  2. يجب أن تعرف بالضبط رمز الخطأ الذي تحتاج إلى معالجة خاصة له.

المشكلة رقم 1 صعبة ولكن يمكن التغلب عليها. تتطلب المشكلة رقم 2 مزيدًا من البحث. إما أن تقوم الوحدة بتوثيق الأخطاء الدقيقة التي ستعود إليها وفي أي ظروف ، أو سيتعين عليك اكتشافها بنفسك. يتضمن هذا الأخير عادة البحث من خلال شفرة المصدر.

يتجاوز البحث في السلوكيات الدقيقة لوحدة PAM هذه النطاق المباشر للسؤال ، وأنا أقصر وقتًا قليلاً في الوقت الحالي إلى جانب ذلك. :)