내 컴퓨터에 Radius 인증을 설정했습니다(클라이언트로서 아직 테스트하지 않음).
pam radius conf 파일에는 공유 비밀 등이 있습니다. 반경 인증은 잠재적으로 조직의 모든 사용자(인증 서버를 제어하지 않음) - 10000명 정도의 사용자를 인증할 수 있습니다.
또한 프로젝트를 그룹으로 허용한다는 의미로 pam_listfile.so를 추가로 설정했습니다.
내가 성취하고 싶은 것은 다음과 같습니다.
- 로컬 관리자 사용자가 있어야 합니다(admin 그룹 및 /etc/passwd에).
- /etc/passwd에 없지만 radius를 통해 인증하는 다른 사용자가 있습니다(처음 로그인할 때 합리적인 홈 디렉토리를 얻을 수 있도록 pam_mkhomedir.so를 설정했습니다). 이것은 액세스를 허용하려는 컴퓨터의 화이트리스트입니다.
- 이러한 추가 사용자는 일부 로컬로 정의된 그룹(아래 참조 - 그룹1, 그룹2 등)의 구성원입니다.
- 이 그룹의 구성원이 아닌 모든 사용자는 인증이 거부되어야 합니다.
/etc/passwd에 로컬 사용자가 있습니다(위 1 참조). 사용자는 sshd.allow 파일의 그룹 중 하나인 admin이라는 그룹에 있습니다. 여기에는 다음이 포함됩니다.
그룹 1
그룹 2
그룹 3
행정
이러한 그룹은 모두 /etc/group에 정의되어 있으며 특정 구성원을 가지고 있습니다.
다른 사용자(/etc/passwd에 없지만 group1의 구성원인)로 인증하려고 하면 인증이 실패하는 것을 볼 수 있습니다. auth.log를 추적해 보니 내 컴퓨터가 실제로 Radius 서버에 대해 이 사용자를 인증하려고 시도하지도 않는 것 같습니다.
나는 일반적인 데비안 설정으로 시작하여 pam_radius, pam_listfile 및 pam_mkhomedir에 해당하는 줄을 추가했습니다. 다른 건 건드리지 않았어요.
따라서 pam 구성의 일부 기본 설정이 엉망이 될 수 있습니다(아마도 로컬 /etc/passwd?를 기반으로 인증을 가정하는 잘못된 auth 필수 지시어일 수 있음). 아니면 적어도 내 추측이다. auth.log는 제공된 사용자 이름을 잘못된 사용자로 참조합니다(Ssh를 통해 비밀번호를 입력하기 전이라도).
내 질문은 - 내가 하고 싶은 일을 하는 것이 가능합니까(위 참조)? 그렇다면 이 문제를 디버깅하는 데 도움을 받을 수 있도록 구성 세부 정보를 게시하겠습니다.