Truy cập bị từ chối cho một người dùng cụ thể bởi cấu hình tài khoản PAM


10

Tôi cố gắng để thiết lập một mật mã đăng nhập từ machineAđể machineBcho người dùng của tôi davidmà đã thoát. Đây là những gì tôi đã làm để tạo các khóa xác thực:

david@machineA:~$ ssh-keygen -t rsa
........

david@machineB:~$ ssh-keygen -t rsa
........

Sau đó tôi đã sao chép id_rsa.pub (/home/david/.ssh/id_rsa.pub)khóa của khóa machineAvào machineB authorized_keystập tin (/home/david/.ssh/authorized_keys).

Và sau đó tôi quay lại màn hình đăng nhập machineA và chạy bên dưới lệnh và nó hoạt động tốt mà không gặp vấn đề gì. Vì vậy, tôi đã có thể đăng nhập vào machineBvới tư cách là người dùng yêu thích mà không cần hỏi bất kỳ mật khẩu nào.

david@machineA:~$ ssh david@machineB

Câu hỏi:

Bây giờ tôi đã tạo một người dùng mới machineAmachineBcả hai chỉ bằng cách chạy lệnh này useradd golden. Và bây giờ tôi muốn ssh mật mã từ này goldendùng vào machineBtừ machineA. Tôi đã làm chính xác bước như trên nhưng nó không hoạt động.

david@machineA:~$ sudo su - golden
golden@machineA:~$ ssh-keygen -t rsa
........

david@machineB:~$ sudo su - golden
golden@machineB:~$ ssh-keygen -t rsa
........

Và sau đó tôi sao chép id_rsa.pubchìa khóa /home/golden/.ssh/id_rsa.pubcho người sử dụng vàng từ machineAđến machineB authorized_keystập tin /home/golden/.ssh/authorized_keys. Và khi tôi cố gắng ssh, nó cho tôi:

golden@machineA:~$ ssh golden@machineB
Connection closed by 23.14.23.10

Chuyện gì thế? Nó không chỉ hoạt động cho người dùng vàng mà tôi đã tạo thủ công thông qua lệnh này useradd. Tôi đang chạy Ubuntu 14.04. Có bất kỳ cài đặt nào tôi cần kích hoạt cho người dùng thủ công này mà tôi đã tạo không?

Trong machineB auth.logtệp, bên dưới là những gì tôi thấy khi tôi chạy lệnh này từ machineA ssh -vvv golden@machineBđể đăng nhập

Jan  3 17:56:59 machineB sshd[25664]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jan  3 17:56:59 machineB sshd[25664]: pam_access(sshd:account): access denied for user `golden' from `machineA'
Jan  3 17:56:59 machineB sshd[25664]: pam_sss(sshd:account): Access denied for user golden: 10 (User not known to the underlying authentication module)
Jan  3 17:56:59 machineB sshd[25664]: fatal: Access denied for user golden by PAM account configuration [preauth]

Có điều gì tôi đang thiếu? Dưới đây là cách cấu trúc thư mục của tôi trông như thế nào:

golden@machineA:~$ pwd
/home/golden
golden@machineA:~$ ls -lrtha
total 60K
-rw------- 1 golden golden  675 Nov 22 12:26 .profile
-rw------- 1 golden golden 3.6K Nov 22 12:26 .bashrc
-rw------- 1 golden golden  220 Nov 22 12:26 .bash_logout
drwxrwxr-x 2 golden golden 4.0K Nov 22 12:26 .parallel
drwxr-xr-x 2 golden golden 4.0K Nov 22 12:34 .vim
drwxr-xr-x 7 root     root     4.0K Dec 22 11:56 ..
-rw------- 1 golden golden  17K Jan  5 12:51 .viminfo
drwx------ 2 golden golden 4.0K Jan  5 12:51 .ssh
drwx------ 5 golden golden 4.0K Jan  5 12:51 .
-rw------- 1 golden golden 5.0K Jan  5 13:14 .bash_history


golden@machineB:~$ pwd
/home/golden
golden@machineB:~$ ls -lrtha
total 56K
-rw------- 1 golden golden  675 Dec 22 15:10 .profile
-rw------- 1 golden golden 3.6K Dec 22 15:10 .bashrc
-rw------- 1 golden golden  220 Dec 22 15:10 .bash_logout
drwxr-xr-x 7 root     root     4.0K Jan  4 16:43 ..
drwx------ 2 golden golden 4.0K Jan  5 12:51 .ssh
-rw------- 1 golden golden 9.9K Jan  5 12:59 .viminfo
drwx------ 6 golden golden 4.0K Jan  5 12:59 .
-rw------- 1 golden golden 4.6K Jan  5 13:10 .bash_history

Cập nhật:

Trong machineA:

cat /etc/passwd | grep golden
golden:x:1001:1001::/home/golden:/bin/bash

Trong machineB:

cat /etc/passwd | grep golden
golden:x:1001:1001::/home/golden:/bin/bash

Bạn có thể hiển thị /etc/passwdmục nhập cho người dùng?
pbm

cập nhật câu hỏi với các chi tiết. Một điều đầu tiên là tôi đã tạo người dùng mà không cần bất kỳ mật khẩu nào và sau đó tôi đã tạo mật khẩu cho người dùng vàng này sau một thời gian.
dùng5447339

Pam_sss đang cung cấp cho người dùng chưa biết. Bạn cần xác minh, cách sssd được cấu hình trên hệ thống của bạn. Một số trường hợp sssd được cấu hình để xác thực bộ đệm, do đó bạn có thể phải làm mất hiệu lực bộ đệm / khởi động lại sssd
VenkatC

@VenkatC Làm cách nào tôi có thể khởi động lại sssd trong hệ thống của mình? Đây là tất cả VM nên tôi không chắc nó được cấu hình như thế nào khi chúng tôi có hệ thống này từ một số nhóm khác.
dùng5447339

sysyemctl khởi động lại sssd - nên hoạt động trên máy chủ dựa trên systemd
VenkatC

Câu trả lời:


13

Vấn đề là với cấu hình ngăn xếp PAM. Máy chủ của bạn được cấu hình pam_accessvà cấu hình mặc định không cho phép truy cập bên ngoài / SSH cho người dùng mới golden, mặc dù các khóa của bạn được thiết lập đúng.

Thêm goldenngười dùng vào /etc/security/access.confnhư dưới đã khắc phục vấn đề.

+:golden:ALL

Để xem thêm thông tin đọc man access.confgiải thích từng lĩnh vực của tập tin này. Nhìn vào phần ví dụ để hiểu thứ tự và ý nghĩa của ĐỊA PHƯƠNG, TẤT CẢ, v.v.


Trong trường hợp của tôi, tôi đã phải được thêm vào một nhóm được cấp quyền truy cập access.conf.
Wolfgang

8

Tôi đã có cùng một vấn đề và không có lựa chọn đề xuất nào làm việc. Nhưng tôi đã tìm thấy trong một trong các diễn đàn ( https://ubuntuforums.org/showthread.php?t=1960510 ) một "cách giải quyết" hoạt động hoàn hảo.

Chỉnh sửa /etc/ssh/sshd_configvà thiết lập

UsePAM no

Mặc dù đây có thể không phải là giải pháp thực sự, bởi vì có gì đó không ổn với máy của tôi (ngày hôm qua nó hoạt động tốt!), Cái này ít nhất cũng hoạt động.


-3

Vui lòng thêm vào như sau /etc/security/access.conf:

-:ALL:EXCEPT root

3
Chào mừng bạn đến với Unix.SE! Bạn có thể chỉnh sửa câu trả lời của mình để giải thích nó tốt hơn câu trả lời hiện có như thế nào không?
Stephen Kitt

@StephenKitt Tôi đã thử cả hai câu trả lời trên, nhưng chúng không hiệu quả với tôi. Khi tôi thêm -:ALL:EXCEPT rootvào /etc/security/access.conf, nó bắt đầu làm việc.
IRSHAD AHMED MOHAMMED

Vui lòng thử khởi động lại winbindd và lẻ. Hy vọng nó sẽ giúp. Cảm ơn,
IRSHAD AHMED MOHAMMED

1
@IRSHADAHMEDMOHAMMED Bạn có thể giải thích lý do tại sao nó hoạt động và những hậu quả liên quan đến bảo mật khác sẽ xảy ra không?
Kusalananda
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.