系统认证和radius认证

Question

我使用的是CentOS 6.3，并希望启用ssh RADIUS身份验证以及Centos系统身份验证。

现在，我的服务器首先使用RADIUS服务器进行身份验证。以及系统认证之后。我希望服务器首先使用unix凭据进行身份验证，然后再通过RADIUS进行身份验证。

我很确定我已经在文件/etc/pam.d/sshd中设置了什么，但我不确定我应该设置什么。

我现在使用的配置是：

auth       required   /lib64/security/pam_radius_auth.so
auth include  system-auth
account    required   /lib64/security/pam_stack.so service=system-auth
password   required   /lib64/security/pam_stack.so service=system-auth
session    required   /lib64/security/pam_stack.so service=system-auth

如果我使用上面的第一个RADIUS身份验证，那么CENTOS系统身份验证。我需要的是首先将它更改为CentOS系统身份验证，然后是RADIUS身份验证。

Answer 1

在pam配置中，订单很重要。如果身份验证要求用户同时针对系统和radius进行验证才能成功，请将auth include system-auth移动到auth required /lib64/security/pam_radius_auth.so之上。

如果没有，从system文件抓取所有auth行，并将它们复制到该文件中。将从required复制的任何行更改为sufficient，并将它们放在pam_radius_auth.so之上。注释掉或删除auth include system-auth行。

如果pam遇到一个足够的行并通过，它将登录，跳过剩余部分，但是失败不会立即中止身份验证进程。如果失败，它将按顺序尝试其余的行。