[RHEL] What should go in password-auth vs system-auth in RHEL6?

What should go in password-auth vs system-auth in RHEL6?

 22시 42분 2014년 1월 28일 업데이트

등급 매기기

등급 선택1/5 지정2/5 지정3/5 지정4/5 지정5/5 지정등급 취소

등급 취소

1/5 지정

2/5 지정

3/5 지정

4/5 지정

5/5 지정

아직 투표 안 함

Edit notification preferences

Related Content

No recommendations found.

Available Translations

• English

확인됨

이 솔루션은 확인되어 Red Hat 고객 및 지원 엔지니어가 지정한 제품 버전에서 사용할 수 있습니다.

이 솔루션은 Red Hat의 신속 게시 프로그램의 일부로, 고객을 지원할 때 Red Hat 엔지니어가 만든 거대한 솔루션 라이브러리를 제공합니다. 이러한 문서는 필요한 지식을 사용 가능한 시점에 곧바로 제공하기 위해 편집하지 않은 원래 상태로 표시될 수 있습니다.

문제

• What should go in password-auth vs system-auth in RHEL6?
• Changes made to /etc/pam.d/system-auth not honored for network services.
• In RHEL5 we would configure it in /etc/pam.d/system-auth. However it seems that the way to go in RHEL6 is to add entry in /etc/pam.d/sshd. I got it working using the latter but I just wanted to make sure we ate using the vendor-recommended (best practice) settings.

환경

• Red Hat Enterprise Linux 6

해결

• ¶You should add things like pam_sss.so and pam_tally2.so that are both for remote and local authentication to both password-auth and system-auth.

• ¶If you don't use fingerprint or smartcard readers, nor use authconfig to manipulate the pam files, you can just include system-auth in password-auth and then only need to update one file.

근본 원인

• ¶With RHEL6, some changes are made with the pam authentication to include better support for fingerprint and smartcard readers.

• ¶The problem with /etc/pam.d/system-auth is that it contains modules that are not usable in remote configurations so remote services such as sshd, vsftpd now use /etc/pam.d/password-auth.

진단 단계

• There is a note about it in the Migration Guide: