Question Comment puis-je configurer l'authentification radius correctement?


Sur tous nos postes de travail Linux, nous avons configuré les modules PAM pour utiliser l'authentification Rayon. Cela fonctionne bien pour toutes les choses comme la connexion à la console, la connexion à l'aide de ssh, sudo, etc. Mais cela ne fonctionne pas avec l'économiseur d'écran / screenlock. Lorsque nous essayons de l'utiliser, l'écran ne demande jamais un mot de passe.

Après avoir étudié le problème, il semble que le programme de verrouillage de l'écran doit pouvoir lire le secret partagé de l'authentification radius. Mais, si vous rendez ce fichier lisible dans le monde entier, cela va à l'encontre de la sécurité de l'authentification Radius. J'ai joué avec setuid et setgid, les deux sans succès. Donc, je suis déconcerté et je viens de désactiver l'authentification par rayon.

Comment puis-je configurer l'authentification radius correctement?


6
2017-10-08 16:54


origine


Nous avons pu le faire demander un mot de passe maintenant, et il semble que cela fonctionne. Il revient juste pour demander à nouveau le mot de passe. En lisant le fichier journal, il renvoie un message d'erreur indiquant que l'authentification a échoué. Nous avons pu le faire fonctionner en autorisant l'accès en lecture au fichier "Secret partagé", mais nous ne voulons pas que cela soit lisible par tous pour des raisons de sécurité. Est-il possible de lancer Gnome Screensaver en tant que superutilisateur? - Ross Eaton
Si tout ce dont vous avez besoin maintenant est de courir gnome-screensaver comme root, avez-vous pensé à définir la suid peu pour l'exécutable? C'est-à-dire, exécutez la commande sudo chmod a+s /usr/bin/gnome-screensaver. Ensuite, gnome-screensaver fonctionnera comme une application racine, quel que soit l'utilisateur qui exécute le programme. Notez que cela vous rend vulnérable à un grand nombre de problèmes de sécurité. Tout utilisateur pourra générer ce programme en tant que processus racine. Bien que cela vaut également pour d'autres programmes, tels que sudo, il ne vous restera plus qu'à faire confiance à un processus de plus pour être en sécurité. - Malte Skoruppa


Réponses: