使用pam和ssh验证Radius用户

时间:2013-12-26 06:44:07

标签: ssh radius pam freeradius

我能够使用radius server + pam + ssh在radius中使用空密码创建本地用户来验证radius用户。

是否可以在不使用空密码在本地计算机上创建用户的情况下对radius用户进行身份验证?

/etc/pam.d/ssh文件如下

#%PAM-1.0
auth    sufficient      pam_radius_auth.so debug
auth    sufficient      pam_unix.so use_first_pass
auth    required        pam_auth_status.so                
account sufficient      pam_unix.so 
account required        pam_auth_status.so    
session required        pam_unix.so

2 个答案:

答案 0 :(得分:0)

您可以在/ etc / passwd和/ etc / shadow文件中为用户进行身份验证而无需为其创建条目。但是现在,用户没有与'/ etc / passwd'中的任何shell关联,所以它没有用。

您想在身份验证后启动shell,还是希望用户只是进行身份验证?

答案 1 :(得分:0)

我发现了两个可以在这种情况下提供帮助的nss库:

一般过程是,这些操作会将未知(但经过身份验证)的用户映射到单个用户模板。虽然每个用户都会得到自己的/home文件夹,但是两个库的共同点是用户ID相同。

这些软件包主要针对没有ldap设置的网络设备。 Cumulus很好地描述了设置。

我建议阅读https://serverfault.com/questions/538383/understand-pam-and-nss以了解那里发生的事情。