Моя система CentOS 6 настроена на использование sssd с поставщиком ldap. Я могу войти в систему и использовать sudo, однако / var / log / secure всегда сообщает об ошибке аутентификации:
Sep 18 07:09:52 serverA sudo: pam_unix(sudo:auth): authentication failure; logname=exampleuser uid=10000 euid=0 tty=/dev/pts/1 ruser=exampleuser rhost= user=exampleuser Sep 18 07:09:52 serverA sudo: pam_sss(sudo:auth): authentication success; logname=exampleuser uid=10000 euid=0 tty=/dev/pts/1 ruser=exampleuser rhost= user=exampleuser
Это вызывает ложные срабатывания в моем SIEM. Думаю, проблема в пам. Я настроил его с помощью authconfig. Есть ли способ настроить pam так, чтобы он не проверял / etc / passwd для пользователей ldap (скажем, пользователей выше X uid) или другое решение этой проблемы?
Постарайтесь поместить эту строку в начало вашего /etc/pam.d/sshd файл.
auth sufficient pam_sss.so
Габриэле и мкзеро были на правильном пути.
Провёл небольшое исследование и смог найти решение. /etc/pam.d/sudo (показано выше) и /etc/pam.d/sshd - два источника, которые будут генерировать подобные сообщения двойного журнала. По умолчанию pam сначала пытается пройти аутентификацию, используя pam_unix.so, а если это не удается, то пытается pam_sss.so. Оба они используют include для извлечения настроек из двух других файлов pam. Чтобы избавиться от этой ошибки, необходимо изменить порядок в двух файлах:
Раздел авторизации заменен на:
auth required pam_env.so
auth sufficient pam_sss.so
auth requisite pam_succeed_if.so uid < 20000 quiet
auth sufficient pam_unix.so nullok try_first_pass
auth required pam_deny.so`
pam_succeed_if.so настроен так, чтобы не использовать pam_unix для пользователей с uid выше 20000, каковыми являются мои пользователи ldap. Если вы его не укажете, вы все равно будете видеть два сообщения журнала аутентификации от pam_sss и pam_unix.