Назад | Перейти на главную страницу

Откат SSH к локальной учетной записи, если сервер Radius недоступен

Я редактировал свой /etc/pam.d/sshd для аутентификации Radius; Я добавил эту строку:

auth required pam_radius_auth.so

Кроме того, я закомментировал строку:

@include common-auth

Теперь аутентификация SSH с использованием Radius в порядке, если сервер Radius работает, но если сервер RADIUS не работает, нет возможности использовать локальные учетные записи Linux.

Есть ли предложения о том, где отредактировать файл, чтобы я мог вернуться к моей локальной учетной записи Linux, когда мой сервер Radius выходит из строя?

Включить common-auth (включает pam_unix.so) и замените "требуется" на "достаточно".

auth    sufficient      pam_radius_auth.so
@include common-auth

(2016/05/03 JST) настройки для "резервного"

auth    [success=done default=bad authinfo_unavail=bad ignore=ignore]  pam_radius_auth.so localifdown
@include common-auth

Результаты pam_radius_auth в следующих случаях:

                       | correct password (in Radius)         | wrong (or UNIX) password
-----------------------+--------------------------------------+-------------------------
Radius Server is alive | PAM_SUCCESS                          | PAM_AUTHINFO_UNAVAIL
-----------------------+--------------------------------------+-------------------------
Radius Server is dead  |             PAM_IGNORE (with localifdown option)
-----------------------+--------------------------------------+-------------------------

В следствии:

PAM_SUCCESS          => done (Login success)
PAM_AUTHINFO_UNAVAIL => bad (Login failure)
PAM_IGNORE           => ignore (continue to "common-auth")

Есть записка. Если значение тайм-аута в pam_radius_auth.conf слишком мало, оно определит, что «Radius Server мертв», перед получением «Access Reject» от Radius Server.