PAM: Geçerli şifre ile kimlik doğrulama hatası

10

komuta

pamtester -v auth pknopf authenticate
pamtester: invoking pam_start(auth, pknopf, ...)
pamtester: performing operation - authenticate
Password:
pamtester: Authentication failure

journctl

Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown
Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf)
Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= uid=1000 euid=1000 tty= ruser= rhost=  user=pknopf

Şu anda olduğu gibi, her kilit ekranı "kilit açma" (KDE kilit ekranı i3lock, vb.)

Eğer i3lockolarak başlarsam , ekran kilidini açmak için kök parolayı sudodüzgün bir şekilde yazabilirim . Ancak, normal kullanıcı olarak çalıştırırsam ve kilidini açmak için normal kullanıcı veya kök parolasını kullanamazsam.

İşte benim PAM yapılandırması i3lock.

#
# PAM configuration file for the i3lock screen locker. By default, it includes
# the 'system-auth' configuration file (see /etc/pam.d/login)
#
auth include system-auth

Koşu ls -l /etc/passwd /etc/shadow /etc/groupşovları

-rw-r--r-- 1 root root 803 Feb 6 14:16 /etc/group
-rw-r--r-- 1 root root 1005 Feb 6 14:16 /etc/passwd
-rw------- 1 root root 713 Feb 6 14:16 /etc/shadow

Bu Arch'ın yeni bir yüklemesi, bu yüzden yapılandırmanın çok sakat olduğunu düşünmüyorum. Bu hata ayıklamak için ne aramalıyım?

Koşu ls -l /sbin/unix_chkpwdşovları

-rwxr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd
pam 
Paul Knopf
kaynak
Vb pknopf. Sitenizde bir kullanıcı hesabınız var /etc/passwdve giriş yapabilir mi?
roaima
Hesabım / etc / passwd dizininde.
Paul Knopf
Ben "pamtester auth pknopf kimlik doğrulaması" kök kullanıcı ile (olarak çalışan), ancak pknopf kullanıcı ile olamaz.
Paul Knopf
ls -l /sbin/unix_chkpwdSorunuza sonuç eklendi, lütfen.
roaima
Çıktıyı içerecek şekilde güncellenen soru.
Paul Knopf

Yanıtlar:

11

Sistem kurulumunuz bozuk görünüyor. Nedense dosya /sbin/unix_chkpwdgörmeyi beklediğim ayrıcalık bitlerini kaybetti.

Kök olarak aşağıdaki komutu çalıştırarak izinleri düzeltin:

chmod u+s /sbin/unix_chkpwd

Ve izinlerin şimdi aşağıdaki gibi olduğunu doğrulayın ( skullanıcı izinlerindeki bit'e bakın ):

-rwsr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd

Raspbian dağıtımımda izinler biraz farklı (ve daha kısıtlayıcı) olarak ayarlandı. Yukarıda açıklanan değişiklik işe yaramazsa, bu iki dosyadaki izinleri dikkatlice değiştirin ve bunun işe yarayıp yaramadığını görün (grup adı her iki durumda da aynı olduğu sürece çok önemli değildir):

-rw-r----- 1 root shadow  1354 Dec  6 13:02 /etc/shadow
-rwxr-sr-x 1 root shadow 30424 Mar 27  2017 /sbin/unix_chkpwd
roaima
kaynak
1
Bu benim sorunum. Bu, Docker'ın bu ayrıcalık bitini soymasının bir sonucuydu. github.com/moby/moby/issues/36239
Paul Knopf
5

Bir Debian makinesinde, benim durumumda shadowgruba exim4 kullanıcısı eklemek zorunda kaldım .

usermod -a -G shadow Debian-exim

PAM: Debian sistemlerinde PAM modülleri çağıran programla aynı kullanıcı olarak çalışır, bu nedenle kendiniz yapamayacağınız hiçbir şeyi yapamazlar ve özellikle kullanıcı grup gölgesinde olmadığı sürece / etc / shadow'a erişemezler. - Exim'in SMTP AUTH için / etc / shadow kullanmak istiyorsanız exim'i grup gölgesi olarak çalıştırmanız gerekecektir. Sadece exim4-daemon-heavy libpam ile bağlantılıdır. Bunun yerine saslauthd kullanmanızı öneririz.

http://lira.no-ip.org:8080/doc/exim4-base/README.Debian.html

Daniel Sokolowski
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.