Kerberos/NIS用户需要影子攻击

Question

如果我有一个Ubuntu系统来使用Kerberos进行身份验证，使用NIS获取信息，那么除非我将NIS影子映射的内容复制到/etc/影子，否则用户无法登录。他们被拒绝了。

如果使用未填充的/etc/阴影运行getent shadow，则不会看到NIS影子映射的内容。

那么，我如何使getent shadow返回NIS映射的内容；或者B)使PAM不关心我没有提供给Kerberos/NIS用户的影子信息？

Answer 1

答案是启用broken_shadow的pam_unix功能。

在/etc/pam.d/common-account中，查找pam_unix行并在其末尾添加broken_shadow：

account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so  broken_shadow

描述：

有些网络设置在加密密码字段中包含“x”，但没有影子信息。当发生这种情况时，pam_unix会失败帐户管理，因为它无法读取这些信息。“破坏”选项假定读取信息的错误意味着信息不存在，并允许用户登录。