أنا أستخدم CentOS 6.3 وأريد تمكين مصادقة ssh RADIUS جنبًا إلى جنب مع مصادقة نظام Centos.

الآن تمت مصادقة خادمي أولاً باستخدام خادم RADIUS. وبعد مصادقة النظام. أريد أن يقوم الخادم بالمصادقة باستخدام بيانات اعتماد يونكس أولاً وبعد ذلك للقيام بالمصادقة عبر RADIUS.

أنا متأكد تمامًا من أنني قمت بتعيين شيء ما داخل الملف /etc/pam.d/sshd ، لكنني لست متأكدًا مما يجب أن أقوم بتعيينه.

التكوين الذي أستخدمه الآن هو:

auth       required   /lib64/security/pam_radius_auth.so
auth include  system-auth
account    required   /lib64/security/pam_stack.so service=system-auth
password   required   /lib64/security/pam_stack.so service=system-auth
session    required   /lib64/security/pam_stack.so service=system-auth

إذا استخدمت أولاً مصادقة RADIUS أعلاه ، ثم مصادقة نظام CENTOS. ما أحتاجه هو تغيير هذا إلى مصادقة نظام CentOS الأولى ثم مصادقة RADIUS.

answer

في تكوين بام ، الترتيب مهم. إذا كانت المصادقة تتطلب مصادقة المستخدم ضد كل من النظام ونصف القطر حتى تنجح المصادقة ، فانتقل إلى auth include system-authما سبق auth required /lib64/security/pam_radius_auth.so.

إذا لم يكن كذلك ، احصل على جميع أسطر المصادقة من ملف مصادقة النظام وانسخها إلى هذا الملف. غيّر أي سطور نسختها requiredمنها sufficientوضعها فوق pam_radius_auth.so. التعليق خارج أو إزالة auth include system-authالخط.

إذا واجه pam سطرًا كافيًا وتم تجاوزه ، فسوف يقوم بتسجيل الدخول متخطياً الباقي ، لكن الفشل لن يوقف عملية المصادقة على الفور. إذا فشلت ، ستحاول الأسطر المتبقية بالترتيب.