서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상

현상 : 서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상

 

원인 : 서버 접근제어 솔루션에서 /etc/pam.d/sshd 설정한 것 보다 BaroPAM 설정이 앞에 설정하여 발생함

 

조치 : 다음과 같이 /etc/pam.d/sshd 설정의 순서를 변경하면 됨.
 

         변경 전)
          auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no
          auth       required     pam_sepermit.so
          auth       include      password-auth
          account    required     pam_nologin.so
          account    include      password-auth
          password   include      password-auth

          변경 후)
          auth       required     pam_sepermit.so
          auth       substack     password-auth
          account    required     pam_nologin.so
          account    include      password-auth
          password   include      password-auth
          auth       required     /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no

 

PAM 설정 시 특정 모듈의 성공과 실패를 어떻게 처리할 것인지를 나타내는 것을 Control이라 한다.

 

Control 중 include과 substack은 다른 PAM 관련 모듈을 불러오는 것은 동일 하지만, substack은 substack의 동작 결과에 따라 나머지 모듈을 처리하지 않는다는 차이점이 있다.