pam_auth_radius - RADIUS 使用者與 unix 使用者
我最近使用FreeRADIUS設置了一個伺服器來驗證和跟踪我的一些設備上的管理員登錄。
我正在考慮使用 pam_auth_radius 模組讓我的 Linux 和 FreeBSD 機器針對 RADIUS 進行身份驗證。我目前正在使用 Ubuntu 10.04 虛擬機進行測試。此外,我目前正在測試 RADIUS 僅對遠端 SSH 使用者進行身份驗證,我希望在某些時候以這種方式完成所有身份驗證。
根據來自網路的所有說明,我安裝pam_auth_radius並在 /etc/pam.d/sshd 中添加引用該模組的行,並將我的伺服器地址和共享密鑰添加到 /etc/pam_radius_auth.conf。
完成此操作後,我可以針對 RADIUS 進行身份驗證……但是,只有我添加到測試機器(使用 adduser)的使用者才能進行身份驗證。例如,使用者“cory”是一個有效的 RADIUS 使用者,RADIUS 返回“Accept”,但我在嘗試通過 ssh 登錄時一直收到“Permission Denied”,直到我“adduser cory”。
我是否需要將每個管理員使用者添加到每個伺服器?我意識到我可以創建沒有密碼的使用者,所以這並不是一個真正的安全問題,但如果我仍然需要在每台設備上進行帳戶管理,它似乎就違背了擁有中央身份驗證伺服器的意義。
有沒有辦法動態創建臨時使用者/目錄/等?還是可以將通過 RADIUS 進行身份驗證的使用者映射到現有帳戶以消除創建每個使用者的需要?
發生的事情是,如果沒有其他所需的結構,linux 系統就沒有關於使用者“cory”的任何資訊。諸如 UID/GID、shell、主目錄之類的東西。
您可以設置本地使用者帳戶,然後告訴 PAM 針對 RADIUS 檢查有效密碼。
您真正想要做的是設置 LDAP。這將允許您在中央數據庫中定義完整的 Unix 使用者帳戶。然後,您將配置您的 RADIUS 伺服器,以針對可以使用它的設備對 LDAP 數據庫進行驗證。