Вопросы Теги

Разрешить как пользователям домена *, так и * локальным пользователям доступ к серверу Centos 7

Мне нужно разрешить пользователям домена (идентификатор пользователя и пароль) доступ к серверу Centos 7, а также локальным пользователям (ключ SSH / без пароля). Я настроил sshd_config как с AllowUsers, так и с AllowGroups и предположил, что если я добавлю к ним локального пользователя, он должен работать. Однако я получаю сообщение об ошибке, когда локальные пользователи пытаются войти в систему: 

sshd[23906]: pam_sss(sshd:account): Access denied for user datahub_push: 10 (User not known to the underlying authentication module)
sshd[23906]: fatal: Access denied for user datahub_push by PAM account configuration [preauth]

Пользователи домена работают нормально и имеют запись в разделе AllowGroups в sshd_config. После некоторого поиска в Google появляется предложение, которое мне нужно изменить: 

/etc/pam.d/sshd

... но я не уверен, что изменить, и является ли редактирование этого файла наилучшей практикой? то есть следует использовать вместо этого инструмент authconfig.

Любая помощь очень ценится.

3
задан 2 December 2016 в 12:31
2 ответа

Я исправил это сам! Я добавил следующую строку в

/etc/pam.d/sshd 

account    sufficient   pam_localuser.so

. После перезапуска sshd я теперь могу войти в систему как пользователь домена и как локальный пользователь. Вот полный рабочий файл: 

#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    sufficient   pam_localuser.so
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

Надеюсь, это поможет кому-то другому :)

2
ответ дан 3 December 2019 в 06:57

Он не работает, даже если nsswitch.conf верен. Мы используем winbind и krb5 для аутентификации passwd. Windbind работает, но локальная аутентификация пользователя не работает, получая отказ в доступе.

0
ответ дан 13 October 2021 в 18:15

Теги

Похожие вопросы