Pam_krb5- এ কার্বেরোসের মাধ্যমে অক্ষম এডি অ্যাকাউন্টগুলিতে অ্যাক্সেস অস্বীকার করবেন কীভাবে?

10

আমার একটি ছোট অ্যাডিশন / লিনাক্স / এলডিএপি / কেআরবি 5 ডিরেক্টরি এবং প্রমাণীকরণ সেটআপ রয়েছে। যখন কোনও অ্যাকাউন্ট অক্ষম করা হয়, তখনও এসএসএইচ সর্বজনীন প্রমাণীকরণ ব্যবহারকারী লগইন করতে দেয়।

এটি পরিষ্কার যে কার্বেরোস ক্লায়েন্টরা কোনও অক্ষম অ্যাকাউন্ট শনাক্ত করতে পারে, কারণ কোনও পাসওয়ার্ড / মিথস্ক্রিয়া ছাড়াই কিনিট এবং কেপাসউইড ফেরত "ক্লায়েন্টের শংসাপত্রগুলি প্রত্যাহার করা হয়েছে"।

অক্ষম অ্যাকাউন্টগুলির জন্য লগইনগুলি নিষ্ক্রিয় করতে PAM কনফিগার করা যায় ("UsePAM হ্যাঁ" এর সাথে sshd_config), যেখানে সার্বজনীন পাবলিকির মাধ্যমে করা হয়? এটি কাজ করে বলে মনে হচ্ছে না:

account     [default=bad success=ok user_unknown=ignore] pam_krb5.so

দয়া করে আপনার উত্তরে উইনবাইন্ডকে পরিচয় করিয়ে দিন - আমরা এটি ব্যবহার করি না।

linux  active-directory  kerberos  pam 
ফিল
সূত্র

উত্তর:

4

আমি অন্য কোথাও পড়েছি এসএসএইচকে "স্থির" হওয়ার জন্য বলার জন্য যাতে লক করা অ্যাকাউন্টগুলি এসএসএইচ দিয়ে লগ ইন করা যায় না। (দেখুন ডিবিয়ান বাগ 219377) এই অনুরোধটিকে প্যাচ হিসাবে প্রত্যাখ্যান করা হয়েছে "কারণ এটি ব্যবহারকারীদের [যাঁরা] পাসওয়ার্ড-ল ব্যবহার করার জন্য কেবল পাসওয়ার্ডটি লক করে রাখার জন্য কিছু প্রত্যাশা ভঙ্গ করেছিল" " (দেখুন ডিবিয়ান বাগ 389183) উদাহরণস্বরূপ কিছু লোক পাসওয়ার্ড লগইনগুলি থেকে অ্যাকাউন্টগুলি লক করতে সক্ষম হতে চায় তবে এসএসএইচ কী অ্যাক্সেসের অনুমতি দেয়।

PAM যে অ্যাকাউন্টগুলিতে সদ্য লক হয়েছে সেগুলিতে এসএসএইচ কী প্রমাণীকরণ অস্বীকার করবে না (উদাহরণস্বরূপ অবৈধ পাসওয়ার্ডের চেষ্টার কারণে, কারণ এসএসএইচ কী প্রমাণীকরণটি পাসওয়ার্ড ক্ষেত্রে কোনও মনোযোগ না দেওয়ার জন্য ডিজাইন করা হয়েছে, যেখানে অ্যাকাউন্টগুলি সাধারণত লক করা থাকে))

আমি বুঝতে পারি যে পাসওয়ার্ড হ্যাশ এন্ট্রিটি পাম_অ্যাকথেনিিকেট () সময়ে স্পষ্টভাবে চেক করা হয়েছে, পাম_এ্যাক্ট_এমজিএমটি () সময়ে নয়। pam_unix.so pam_sm_acct_mgmt () পাসওয়ার্ড হ্যাশটি একেবারেই চেক করে না এবং পাবলিক কী প্রমাণীকরণের সময় পাম_আউটিক্যান্সেট () কল করা হয় না।

আপনার উদ্দেশ্য যদি অ্যাকাউন্টগুলি কেন্দ্রীয়ভাবে লগ ইন করা থেকে অক্ষম করতে সক্ষম হয় তবে অন্যান্য সম্ভাব্য কাজের ক্ষেত্র রয়েছে, যার মধ্যে রয়েছে:

লগইন শেল পরিবর্তন করা হচ্ছে।

(পুনরায়) তাদের অনুমোদিত_কিজি ফাইলটি সরানো।

অ্যাক্সেস অস্বীকার করার জন্য অন্য বিকল্পটি হতে পারে sshd_config- এ DenyGroups বা AllowGroups এর কিছু ব্যবহার। (তারপরে ব্যবহারকারীকে "sshdeny" গ্রুপে যুক্ত করা বা লগ ইন থেকে নিষ্ক্রিয় করতে একটি "sshlogin" গোষ্ঠী থেকে তাদের সরানো)) (এখানে পড়ুন: https://help.ubuntu.com/8.04/serverguide/user-management .html )

Http://web.archiveorange.com/archive/v/67CtqEoe5MhDqkDmUMuL থেকে আমি পড়েছি: "সমস্যাটি পাম_উনিক্স শ্যাডো প্রবেশের মেয়াদোত্তীকরণের তারিখগুলি পরীক্ষা করে, পাসওয়ার্ড হ্যাশ ফিল্ডের সামগ্রী নয়" " যদি এটি সত্য হয় তবে অ্যাকাউন্টটি লক করার চেয়ে আপনার মেয়াদ শেষ হয়ে যাবে ?

আপনার প্রশ্নের উত্তর সম্ভবত "হ্যাঁ, আপনি যদি পাসওয়ার্ড ক্ষেত্র ব্যতীত অন্য কোথাও এটি অক্ষম করে থাকেন"

JohnGH
সূত্র
4

আরও কিছু হোমওয়ার্ক করেছেন, এবং আমার নিজের প্রশ্নের উত্তর দিচ্ছি।

তাহলে RedHat এর pam_krb5 ইন ( pam_krb5-2.3.14-1/src/acct.c), যদি না মডিউল প্রমাণীকরণ পর্যায়ে অংশগ্রহণ করেন, pam_sm_acct_mgmt () ফাংশন আয় পারেন PAM_IGNORE বা PAM_USER_UNKNOWN মডিউল কনফিগ উপর নির্ভর করে। তাই আমি যা চাই তা করতে এটির জন্য pam_krb5 কোডে পরিবর্তন প্রয়োজন।

জনজিএইচ এর উত্তর একটি ভাল কাজ; "প্রক্সি" বৈশিষ্ট্যগুলি একই অর্থ বোঝাতে ব্যবহার করে যেমন শেল ভেঙে দেওয়া বা "অক্ষম-ব্যবহারকারী" গোষ্ঠীতে যুক্ত করা।

আরেকটি ওয়ার্কআরাউন্ড (আংশিকভাবে পরীক্ষিত) হ'ল অতীতে একাউন্টের সমাপ্তির তারিখ নির্ধারণ করা এবং অ্যাকাউন্ট চেকগুলি ব্যর্থ করতে পাম_উনিক্সের মতো একটি মডিউল ব্যবহার করা। এটি কেআরবি 5 এর পরিবর্তে এলডিএপি ব্যবহার করে তবে একই কেন্দ্রীয়-পরিচালিত ব্যবহারকারী ডিরেক্টরিটির বিরুদ্ধে অনুসন্ধান করে।

ফিল
সূত্র
2

এসএসএইচ কী ভিত্তিক প্রমাণীকরণ PAM থেকে স্বতন্ত্র। আপনার নিম্নলিখিত সমাধান রয়েছে:

  • sshd_config- এ কি-বেসড প্রমাণীকরণ অক্ষম করুন
  • এসএসডিডি পরিবর্তন এবং পুনরায় সংকলন করুন এবং একটি হুক যুক্ত করুন যাতে কীব্যাসযুক্ত লেখক পামের মাধ্যমে অ্যাকাউন্টটি বৈধ কিনা তাও পরীক্ষা করতে পারে।

আপনি যদি কার্বেরোসের মাধ্যমে পাসওয়ার্ডহীন লগইন ব্যবহার করতে চান তবে আপনাকে অবশ্যই তা নিশ্চিত করতে হবে:

  • আপনি sshd এর জন্য পাম ব্যবহার করছেন না
  • আপনার কার্বেরোস সঠিকভাবে কনফিগার করা আছে। যেমন আপনি করতে পারেনkinit -k host/server1.example.com@DOMAIN

  • আপনি sshd gssapi ব্যবহার করার জন্য কনফিগার করা হয়েছে:

    কার্বেরোস প্রমাণীকরণ হ্যাঁ জিএসএসএপিএআইএইচএনটিফিকেশন হ্যাঁ জিএসএসএপিএল ক্লিনআপস হ্যাঁ

  • আপনি একটি কার্বাইজড এসএসএস ক্লায়েন্ট যেমন পটিটিওয়াই ভি .6.1১ বা আরও নতুন ব্যবহার করেন।

মিরসিয়া ভুটকোভিচি
সূত্র
1
আমি একমত নই যে এসএসএইচ পাবলিক কী লেখক পিএএম থেকে স্বতন্ত্র। account optional pam_echo.so file=/etc/redhat-release/Etc/pam.d/sshd এ যুক্ত করার ফলে কী-ভিত্তিক লেখক লগইনগুলি ব্যবহার করার সময় ফাইলের সামগ্রীগুলি মুদ্রণ করা যায় (এটি চেষ্টা করুন)।
ফিল
আমি মনে করি যে প্যামটি কেবল অ্যাকাউন্টের জন্য ব্যবহৃত হয় (যেমন হোম ফোল্ডার তৈরি করতে) এবং লেখকের জন্য নয়। আমি এখন এই কেসটি পরীক্ষা করছি।
মিরসিয়া ভুটকোভিচি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.