Назад | Перейти на главную страницу

Подавить странный журнал «сбой аутентификации» при использовании pam_ldap с ssh в CentOS 7

Мы успешно настроили демон ssh с аутентификацией LDAP в CentOS 7.

Но в / var / log / secure есть странные сообщения журнала, даже если пользователь успешно вошел в систему (первая строка):

Dec  5 08:28:13 HOSTNAME.SERVER sshd[11195]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=HOSTNAME.CLIENT  user=USERNAME
Dec  5 08:28:13 HOSTNAME.SERVER sshd[11195]: Accepted password for USERNAME from IP.CLIENT port 25423 ssh2
Dec  5 08:28:13 HOSTNAME.SERVER sshd[11195]: pam_unix(sshd:session): session opened for user USERNAME by (uid=0)

Как мы можем подавить журнал «сбой аутентификации»?

Вот наши файлы настроек, которые мы предполагаем связанными:

/etc/pam.d/system-auth-ac

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

/etc/pam.d/password-auth-ac

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Согласно статье Red Hat KB 881103

Это ожидаемое поведение от pam_unix и сообщение нормальное и безвредное.

В пределах pam_unix чтобы прекратить регистрацию этих сообщений.

Конфигурация pam по умолчанию пытается аутентифицировать пользователя, используя pam_unix сначала, затем используя pam_ldap.so модуль, если аутентификация с pam_unix не удалось.

В статье также будет показано возможное изменение конфигурации, если вы хотите удалить эти ошибки ошибок по умолчанию из журнала.