Как правильно настроить pam.d?

Question

[Дмитрий]

Здравствуйте!

Имеется несколько серверов на Debian 8 и домен на Windows. На Debian настроена доменная авторизация.
Авторизация и sudo работают.
Проблема в том что в лога auth.log помимо успешной авторизации через pam_krb5, есть сообщения о неуспешной через pam_unix:

sshd[30754]: pam_krb5(sshd:auth): user test authenticated as test@DOMAIN.LOCAL
sshd[30754]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host.domain.local user=test
sshd[30754]: Accepted password for test from 172.17.18.1 port 41138 ssh2
sshd[30754]: pam_unix(sshd:session): session opened for user test by (uid=0)
sudo: pam_krb5(sudo:auth): user test authenticated as test@DOMAIN.LOCAL
sudo: pam_unix(sudo:auth): authentication failure; logname=test uid=10000 euid=0 tty=/dev/pts/0 ruser=test rhost= user=test

Подозреваю, что чтобы убрать неуспешные логи надо правильно настроить pam.d. Подскажите, пожалуйста, как должно быть правильно.
Текущие конфигурации:
common-auth:

auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass

auth    requisite                       pam_deny.so

auth    required                        pam_permit.so

common-password:

password        [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
password        [success=1 default=ignore]      pam_winbind.so use_authtok try_first_pass

password        requisite                       pam_deny.so

password        required                        pam_permit.so

password        required                         pam_cracklib.so retry=6 minlen=7 dcredit=-1 lcredit=-1 ocredit=0 ucredit=0
password        sufficient                       pam_unix.so remember=4 sha512 shadow nullok try_first_pass use_authtok

Answer 1

[Saboteur]

auth sufficient pam_unix.so nullok_secure use_first_pass
auth sufficient pam_winbind.so use_first_pass

Если заходит юникс пользователь - он сразу sufficient
если заходит виндовый юзер, для которого нет локального юникс юзера - pam_unix будет ругаться.

Если у вас чаще логинятся виндовые юзера, просто поменяйте эти строки местами, тогда при логине unix пользователей будет ругаться на pam_winbind, но например реже..

Comments

[Дмитрий]

Спасибо!
С Debian и Ubuntu работает отлично. Этот вариант вполне рабочий.
С CentOS 7 такой фокус не проходит. Поменял местами в system-auth - вообще перестала проходить авторизация.

Не подскажете как настроить правильно?
system-auth:

auth        required      pam_env.so
auth        requisite     pam_succeed_if.so uid > 1000 quiet_success
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_winbind.so cached_login use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_winbind.so cached_login

password-auth:

auth        required      pam_env.so
auth        requisite     pam_succeed_if.so uid > 1000 quiet_success
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_winbind.so cached_login use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_winbind.so cached_login

[Saboteur]

Просто почитайте названия модулей и за что они отвечают.

auth required pam_env.so
auth requisite pam_succeed_if.so uid > 1000 quiet_success
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_winbind.so cached_login use_first_pass
auth required pam_deny.so

requisite
If a 'requisite' module fails, the operation not only fails, but
the operation is immediately terminated with a failure without
invoking any other modules: 'do not pass go, do not collect $200',
so to speak.

У вас идет requisite модуль pam_succeed_if_so uid
Может он возвращает для виндовых пользователей ошибку, и поэтому сразу авторизация вылетает ? Надо смотреть его настройки.

На самом деле просто почитайте внимательнее про все модули, которые используются и их настройки и расставьте их в логичном порядке.

Почитайте статью про pamd для общено представления ключей:
https://www.linux.com/news/understanding-pam