VMWare仮想マシンのRed Hat Enterprise Linux 6.10。複数のユーザーアカウントが定義されています。 1つのユーザーアカウント(user3)は、SSHまたはVMWareコンソールからログインできません。以前にログインしたことがありますが、過去2日間はログインできませんでした。他のユーザーアカウントは正常にログインできます。
ユーザーアカウントは/etc/passwdおよび/etc/shadowにリストされており、ロックされていません。新しいユーザーを作成し、そのユーザーは問題なくログインしました。 /etc/passwd エントリは有効なシェルパス (/bin/bash) を表示します。
user3を削除してアカウントを再作成しました。それでもログインできません。異なる名前(usr3、user33など)の新しいアカウントが機能します。 user3というアカウントはログインできません。
新しいアカウントがuser3が所有するUIDを受信すると、ログインできます。 user3という新しいアカウントのUIDが異なる場合でも、ログインは失敗します。表示名「user3」がどこかにロックされています。
"passwd user3"をrootとして実行すると、/var/log/secureに次のエントリが表示されます。
passwd: pam_unix(passwd:chauthtok): password changed for user3
passwd: gkr-pam: couldn't update the 'login' keyring password: no old password was entered
user3でSSHに接続すると、/var/log/secureに次のように表示されます。
sshd[21420]: error: PAM: Authentication failure for user3 from computer1
それはすべてです。他のエラーはありません。興味深いことに、意図的に間違ったパスワードを入力すると、他のエラーセットが表示されます。
unix_chkpwd[21903]: password check failed for user (user3)
sshs[21745]pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=computer1 user=user3
sshd[21718]: error: PAM: Authentication failure for user3 from computer1
sshd[22121]: error: PAM: Authentication failure for illegal user user3 from computer3
PAMのどこかに「user3」の破損したエントリがあるようです。追加の問題を解決するには、PAMについて十分な知識がありません。
他のユーザーアカウントに影響を与えたくないので、完全なPAM設定を消去またはリセットするソリューションは避けるべきです。 「user3」の名前をどのように正確に知ることができますか?
答え1
私も同じ問題がありました。あるユーザーはPuttyまたはローカルSSHを介してログインできませんでしたが、pam_tally2に有効または無効なパスワードを持つ新しいエントリがありませんでした。
その他の症状:
- su - (パスワードの入力を求め、「su:認証失敗」を返します。)
- /var/log/secureエントリに、認証/アカウント/セッション情報なしで「sshd []エラー:PAM:認証に失敗しました」と表示されます。
- 「sudo passwd」を使用してパスワードをリセットすると、パスワードが明確にリセットされ、トークンが正常に変更され、/ etc / shadowのタイムスタンプが正しく更新されたが認証の問題が続くことを示します。
- ユーザーアカウントの有効期限が切れていません。
他のすべてのユーザーは正しくログインできるため、これは一般的なPAM構成の問題ではありません。
解決策:
faillock --user <username> (showed 5 valid failures)
faillock --user <username> --reset
faillock --user <username> (now has 0 valid failures)
その後、Puttyでログインし、「su -」を正常に使用できました。
答え2
モジュールpam_tally2
はアクセス試行の数を記録し、試行が多すぎると失敗した場合にアクセスを拒否できます。モジュールのマンページに詳細情報があります。
このモジュールの仕様は次のとおりです/etc/pam.d/login
。たとえば、次のようになります。
auth required pam_tally2.so deny=6
次の方法でユーザーのエラー数を確認できます。
pam_tally2 --user=<username>
以下でカウントをリセットできます。
pam_tally2 --user=<username> --reset