最近,我用FreeRADIUS设置了一个服务器来验证和跟踪我的一些设备上的管理登录。
我想让我的Linux和FreeBSD机器使用pam_auth_radius模块对RADIUS进行身份验证。我目前正在使用Ubuntu10.04虚拟机进行测试。另外,我目前正在测试RADIUS只对远程SSH用户进行身份验证,我希望在某个时候以这种方式进行所有身份验证。
根据来自web各地的说明,我安装了帕姆_身份验证_半径并在/etc/pan.d/sshd中添加了一个引用模块的行,并将我的服务器地址和共享秘密添加到/etc/pam_radius_auth.conf。
完成此操作后,我可以使用RADIUS...however进行身份验证,只有我添加到测试机器中的用户(使用adduser)才能进行身份验证。例如,用户"cory“是一个有效的RADIUS用户,RADIUS返回"Accept",但我在尝试通过ssh登录时一直被”拒绝“,直到我"adduser cory”为止。
我是否需要将每个管理用户添加到每个服务器?我意识到我可以让没有密码的用户,所以这并不是真正的安全问题,但如果我仍然必须在每个设备上进行帐户管理,那么它似乎就克服了拥有一个中央身份验证服务器的问题。
是否有一种动态创建临时用户/目录/etc的方法?或者可以将通过RADIUS进行身份验证的用户映射到现有帐户以消除创建每个用户的需要?
发布于 2010-08-16 20:40:22
所发生的事情是,如果没有所需的其他结构,linux系统就没有任何关于用户“cory”的信息。像UID/GID,shell,like目录之类的东西。
您可以设置本地用户帐户,然后告诉PAM根据RADIUS检查有效密码。
您真正想要做的是设置LDAP。这将使您可以在中央数据库中定义完整的Unix用户帐户。然后将您的RADIUS服务器配置为对那些可以使用它的设备对LDAP数据库进行验证。
https://serverfault.com/questions/171150
复制相似问题