ssh: एक गैर-रूट उपयोगकर्ता के लिए "PAM खाता कॉन्फ़िगरेशन द्वारा अस्वीकृत" लेकिन दूसरा नहीं


24

एक वीएम पर मैं इनिशियलाइज़ कर रहा हूं मैं एक गैर-रूट उपयोगकर्ता ( admin) के रूप में लॉग इन करने में सक्षम हूं, लेकिन tbbscraperसार्वजनिक प्रमाणीकरण के साथ एसएसएच पर एक और ( ) नहीं । एकमात्र त्रुटि संदेश जो मुझे किसी भी लॉग फ़ाइल में मिल सकता है

Sep 18 17:21:04 [REDACTED] sshd[18942]: fatal: Access denied for user tbbscraper by PAM account configuration [preauth]

क्लाइंट की तरफ, सिंड्रोम है

$ ssh -v -i [REDACTED] tbbscraper@[REDACTED]
...
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: [REDACTED]
debug1: Authentications that can continue: publickey
debug1: Trying private key: [REDACTED]
debug1: read PEM private key done: type RSA
Connection closed by [REDACTED]

'Tbbscraper' को 'admin' में बदलने से एक सफल लॉगिन की अनुमति मिलती है: debug1: Authentication succeeded (publickey)."कनेक्शन बंद" संदेश के बजाय प्रकट होता है।

यह एक अनुमति समस्या नहीं लगती ...

# for x in admin tbbscraper
> do ls -adl /home/$x /home/$x/.ssh /home/$x/.ssh/authorized_keys
> done
drwxr-xr-x 3 admin admin 4096 Sep 18 17:19 /home/admin
drwx------ 2 admin admin 4096 Sep 18 16:53 /home/admin/.ssh
-rw------- 1 admin admin  398 Sep 18 17:19 /home/admin/.ssh/authorized_keys
drwxr-xr-x 3 tbbscraper tbbscraper 4096 Sep 18 17:18 /home/tbbscraper
drwx------ 2 tbbscraper tbbscraper 4096 Sep 18 17:18 /home/tbbscraper/.ssh
-rw------- 1 tbbscraper tbbscraper  398 Sep 18 17:18 /home/tbbscraper/.ssh/authorized_keys

# cmp /home/{admin,tbbscraper}/.ssh/authorized_keys ; echo $?
0

... और न ही एक पीएएम-स्तरीय अभिगम नियंत्रण समस्या ...

# egrep -v '^(#|$)' /etc/security/*.conf
#

... तो मौजूदा प्रश्नों में से कोई भी समान प्रश्नों पर लागू नहीं होगा। मेरे पास मौजूद सबूतों का केवल एक ही टुकड़ा है:

root@[REDACTED] # su - admin
admin@[REDACTED] $

परंतु

root@[REDACTED] # su - tbbscraper
su: Authentication failure
(Ignored)
tbbscraper@[REDACTED] $

जो कुछ बड़े पैमाने पर PAM मुद्दे का सुझाव देता है, लेकिन मैं सामान में स्पष्ट रूप से गलत कुछ भी नहीं पा सकता हूं /etc/pam.d। कोई विचार?

वीएम एक ईसी 2 उदाहरण है, ओएस डेबियन 7.1 (अमेज़ॅन का ऑफ-द-शेल्फ एएमआई) है।


/etc/pam.d/sshdकृपया
GioMac

@GioMac कोई बात नहीं, मुझे समस्या मिल गई।
zwol

जवाबों:


29

आखिरकार, यह पता चला है कि इसमें एक-चरित्र टाइपो है /etc/shadow। अंतर पहचानिए:

admin:!:15891:0:99999:7:::
tbbscraper:!::15966:0:99999:7:::

यह सही है, tbbscraperलाइन पर विस्मयादिबोधक बिंदु के बाद दो कॉलोन हैं । यह सभी क्षेत्रों को एक के ऊपर एक कर देता है और PAM को लगता है कि यह खाता 8 जनवरी, 1970 को समाप्त हो गया।


9
पोस्ट करने का शुक्रिया। यह मेरे लिए उपयोगी था: मैंने मैन्युअल रूप से / etc / passwd में एक उपयोगकर्ता प्रविष्टि बनाई थी और एक संगत / etc / छाया प्रविष्टि जोड़ना भूल गया था।
19

6
@spazm टिप्पणी करने के लिए धन्यवाद। यह मेरे लिए उपयोगी था: मैंने मैन्युअल रूप से उपयोगकर्ताओं को दूसरी मशीन से कॉपी किया और पासवर्ड के बिना एक उपयोगकर्ता की / etc / छाया प्रविष्टि की प्रतिलिपि बनाना भूल गया।
Jayen

8

अपना प्रश्न पोस्ट करने के लिए धन्यवाद। मुझे वही त्रुटि मिल रही थी, लेकिन मेरी समस्या छाया फ़ाइल से संबंधित नहीं थी। मैंने अपना फिक्स ढूंढ लिया और इस त्रुटि को Googling किसी और के लिए भी जवाब देना चाहता था। यह सर्वरफॉल प्रश्न पहले आता है।

जाँच की कोशिश करो /etc/security/access.conf!

हम प्रमाणीकरण के लिए सक्रिय निर्देशिका का उपयोग कर रहे हैं, लेकिन मुझे स्थानीय, गैर-AD उपयोगकर्ता (जेनकींस) के रूप में लॉगिन करने की आवश्यकता है। मेरे बॉस ने मूल रूप से बॉक्स को इन लाइन के साथ सेटअप किया था /etc/security/access.conf:

+:root:ALL
-:ALL:ALL

मैंने इसे निम्न में बदल दिया और लॉगिन अब काम करता है; मुझे किसी भी सेवा को पुनः आरंभ करने की आवश्यकता नहीं थी।

+:jenkins:ALL
+:root:ALL
-:ALL:ALL

3

एक ही त्रुटि संदेश था। Sshd को बंद कर दिया और इसे डीबग मोड में पुनरारंभ किया

    /usr/sbin/sshd -ddd

इसका कारण बताया गया:

    debug3: User autossh not allowed because account is locked
            ...
    input_userauth_request: invalid user <username> [preauth]

चेक किया गया खाता:

    passwd -S <username>

जिसमें पता चला कि खाता लॉक हो गया था (झंडा "L") नया पासवर्ड सेट करके खाते को लॉक कर दें:

    passwd <username>

किया हुआ।


2

मुझे आज सुबह भी यही समस्या थी लेकिन सर्वर उपयोगकर्ताओं को सक्रिय निर्देशिका के विरुद्ध प्रमाणित करता है। उपयोगकर्ता का डोमेन पासवर्ड समाप्त हो गया था।


2
एक ही घटना, उपयोगकर्ता खाते की जानकारी के विभिन्न स्रोत :-) यह संभव है कि मुझे दो साल पहले ssh और / या PAM के खिलाफ बग दर्ज करना चाहिए था, जिसमें लॉग इन करने की कोशिश से इनकार करने के कारण स्पष्ट रूप से लॉग इन करने के लिए कहा गया था; वहाँ जो व्यक्ति नहीं बता रही के लिए एक सुरक्षा तर्क है बनाया कारण है कि यह असफल प्रयास है, लेकिन यह सिस्टम लॉग करने के लिए लागू नहीं होगा।
zwol

2

मेरे मामले में मैं स्थानीय CentOS 6 उपयोगकर्ताओं का नाम बदल रहा था, और उनका नाम / आदि / छाया में नाम बदलना भूल गया (जो पासवर्ड-कम महत्वपूर्ण-प्रमाणित हैं, मेरे दिमाग में नहीं आया), इसलिए नए उपयोगकर्ता नामों के लिए रिकॉर्ड सिर्फ थे अनुपस्थित / आदि / छाया में। / Var / log / सुरक्षित में यह मुझे unix_chkpwd त्रुटि दे रहा था और प्रवेश PAM द्वारा अस्वीकार कर दिया गया था:

    unix_chkpwd[12345]: could not obtain user info (user2)
    sshd[12354]: fatal: Access denied for user user2 by PAM account configuration

1
usermod (8) अगली बार आपका दोस्त है ;-)
माइकल शगोरिन

0

मेरे मामले में यह "दिलचस्प" स्थितियों में ext4 रूटफुट भ्रष्टाचार के बाद '' / etc / tcb / USER / छाया 'जंक मार रहा था; यह बहुत आकर्षक लग रहा था इसलिए प्रारंभिक परीक्षा के दौरान देखा नहीं गया था (अभी नोड को फिर से स्थापित नहीं किया जा सकता है, लेकिन)।


0

मेरे पास एक ही मुद्दा था और सुझाए गए विकल्पों में से किसी ने भी काम नहीं किया। लेकिन मुझे एक मंच ( https://ubuntuforums.org/showthread.php?t=1960510 ) में एक "वर्कअराउंड" मिला, जिसने पूरी तरह से काम किया।

संपादित करें /etc/ssh/sshd_configऔर सेट करें

UsePAM no

हालांकि यह वास्तविक समाधान नहीं है, क्योंकि मेरी मशीन के साथ कुछ गड़बड़ है (कल यह ठीक काम कर रहा था!), यह कम से कम काम करता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.