Я редактировал свой /etc/pam.d/sshd
для аутентификации Radius; Я добавил эту строку:
auth required pam_radius_auth.so
Кроме того, я закомментировал строку:
@include common-auth
Теперь аутентификация SSH с использованием Radius в порядке, если сервер Radius работает, но если сервер RADIUS не работает, нет возможности использовать локальные учетные записи Linux.
Есть ли предложения о том, где отредактировать файл, чтобы я мог вернуться к моей локальной учетной записи Linux, когда мой сервер Radius выходит из строя?
Включить common-auth (включает pam_unix.so
) и замените "требуется" на "достаточно".
auth sufficient pam_radius_auth.so
@include common-auth
auth [success=done default=bad authinfo_unavail=bad ignore=ignore] pam_radius_auth.so localifdown
@include common-auth
Результаты pam_radius_auth в следующих случаях:
| correct password (in Radius) | wrong (or UNIX) password
-----------------------+--------------------------------------+-------------------------
Radius Server is alive | PAM_SUCCESS | PAM_AUTHINFO_UNAVAIL
-----------------------+--------------------------------------+-------------------------
Radius Server is dead | PAM_IGNORE (with localifdown option)
-----------------------+--------------------------------------+-------------------------
В следствии:
PAM_SUCCESS => done (Login success)
PAM_AUTHINFO_UNAVAIL => bad (Login failure)
PAM_IGNORE => ignore (continue to "common-auth")
Есть записка. Если значение тайм-аута в pam_radius_auth.conf слишком мало, оно определит, что «Radius Server мертв», перед получением «Access Reject» от Radius Server.