У меня есть сервер под управлением OpenLDAP. Когда я запускаю ssh-сессию, я могу войти в систему без проблем, но в логах появляется ошибка. Это происходит только тогда, когда я вхожу в систему с учетной записью LDAP (а не с системной учетной записью, такой как root). Мы будем очень благодарны за любую помощь в устранении этих ошибок.
Соответствующий фрагмент из /var/log/auth.log
sshd[6235]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=example.com user=peter
sshd[6235]: Accepted password for peter from 192.168.1.2 port 2441 ssh2
sshd[6235]: pam_unix(sshd:session): session opened for user peter by (uid=0)
Пэм общая сессия
session [default=1] pam_permit.so
session required pam_unix.so
session optional pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022
session required pam_limits.so
session required pam_unix.so
session optional pam_ldap.so
Пэм Common-Auth
auth [success=1 default=ignore] pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
auth required pam_permit.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022 silent
auth sufficient pam_unix.so nullok_secure use_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
Пэм Common-Account
account [success=2 new_authtok_reqd=done default=ignore] pam_ldap.so
account [success=1 default=ignore] pam_unix.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
account sufficient pam_ldap.so
account sufficient pam_unix.so
Эта ошибка возникает из-за того, что pam_unix модуль просит проверить пароль пользователя LDAP и, конечно же, не работает. Затем этот сбой игнорируется вашей конфигурацией PAM, но модуль все равно регистрирует его (и это нельзя отключить).
Однако ваш конфиг мне кажется довольно странным. Вы используете каждый из pam_unix и pam_ldap дважды, и я предлагаю вам очистить это. Если вы используете только их первые вхождения, сообщение об ошибке должно исчезнуть (потому что pam_unix будут пропущены для успешно прошедших аутентификацию пользователей LDAP). Однако я не уверен, чего вы хотели добиться с помощью двойных проверок и pam_succeed_if line, поэтому убедитесь, что вы знаете, что делаете при изменении этой конфигурации.