نستخدم pam_tally2 في ملف تكوين مصادقة النظام والذي يعمل بشكل جيد للمستخدمين. مع خدمات مثل SCOM أو Nervecenter يتسبب في عمليات تأمين.

نفس السلوك على RHEL5 و RHEL6

هذا هو /etc/pam.d/nervecenter

#%PAM-1.0
# Sample NerveCenter/RHEL6 PAM configuration
# This PAM registration file avoids use of the deprecated pam_stack.so module.
auth         include    system-auth
account      required   pam_nologin.so
account      include    system-auth

وهذا هو /etc/pam.d/system-auth

auth       sufficient     pam_centrifydc.so
auth       requisite      pam_centrifydc.so deny
account    sufficient     pam_centrifydc.so
account    requisite      pam_centrifydc.so deny
session    required       pam_centrifydc.so homedir
password   sufficient     pam_centrifydc.so try_first_pass
password   requisite      pam_centrifydc.so deny
auth        required      pam_tally2.so deny=6 onerr=fail
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
password    requisite     pam_cracklib.so try_first_pass retry=3 minclass=3  minlen=8 lcredit=1 ucredit=1 dcredit=1 ocredit=1 difok=1
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=8
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

تسجيل الدخول يعمل ولكنه يقوم أيضًا بتشغيل عداد pam_tally حتى يصل إلى 6 عمليات تسجيل دخول "خاطئة".

هل هناك أي شخص من "بام-نينجا" يمكنه اكتشاف المشكلة؟

شكرا.

answer

لقد وجدت المشكلة.

قراءة من خلال بعض الأخطاء والقضايا

يحتاج pam_tally2 تحدد لل المصادقة و الحساب . سيؤدي هذا إلى إعادة تعيين العداد الخاص به عندما تم تسجيل الدخول بنجاح.

أدى تغييرها إلى ما يلي إلى إصلاح المشكلة

auth        required      pam_tally2.so deny=6 onerr=fail
account     required      pam_tally2.so

كان السبب الرئيسي هو أن SCOM كانت تحاول طرق مصادقة مختلفة. في حين أن البعض فشل واحد كان ناجحًا. كانت المشكلة أن العداد لا يعيد ضبط نفسه أبدًا.