Linux-Benutzerkonto kann nicht entsperrt werden

14

Ich habe eine Linux-Box (OpenSuSE 11.3) mit einem gesperrten Benutzerkonto. Ich habe mich als Root-Konto angemeldet, um es zu entsperren passwd -u <user>, aber ich erhalte eine Nachricht'Cannot unlock the password for <user>!'

Ich habe versucht, das Kennwort über in etwas Neues zu ändern. Beim passwdVersuch, sich mit diesem neuen Kennwort anzumelden, wird jedoch weiterhin die Fehlermeldung "Konto wurde aufgrund von x fehlgeschlagenen Versuchen gesperrt" angezeigt.

passwd -Sgibt Status-Flags von "PS" für das Konto. Ich erkenne 'S' nicht, aber es wird auf keinen Fall 'L' (gesperrt) oder 'NP' (kein Passwort) angezeigt. /etc/shadowenthält keine seltsamen Zeichen wie !am Anfang der Zeile für dieses Konto. Wenn Sie es sich in der Verwaltungs-App dieser Distribution (YaST) ansehen, wird angezeigt, dass es nicht gesperrt ist (die Schaltfläche "Konto deaktivieren" ist deaktiviert).

Wo sonst muss ich überprüfen, wie und warum dieses Konto die Freischaltung / Anmeldung verweigert?

Marmelade
quelle
Welche Distribution und Version?
Freitag,
Diese Maschine ist OpenSuSE 11.3
Marmelade

Antworten:

18

Ich hatte heute dieses Problem. Dies war die Lösung.

pam_tally --user = --reset

Beispiel

pam_tally --user=cyberninja --reset

Ich hoffe das hilft jemandem.


Ich fand diesen Beitrag auf der Suche nach einer Antwort auf genau diese Frage. Ich hatte den gleichen Fehler aber auf einem SLES 11 SP2 Server. Mein Mitarbeiter hat mein Passwort zurückgesetzt und versucht, mein Konto mit dem Befehl zu entsperren passwd -u. Einer meiner anderen Mitarbeiter sagte, ich brauche einen eindeutigen Account in PAM und gab mir das Kommando. Was ich oben gepostet habe.


Aktualisieren,

Ich habe jetzt eine Lösung, die verhindert, dass dies erneut geschieht. Es scheint, dass es zwei PAM-Dateien gibt, bei denen Konflikte auftreten. Diese Dateien sind; /etc/pam.d/loginund /etc/pam.d/sshd. Beide Dateien haben diese Zeile.

auth erforderlich pam_tally.so onerr = fail deny = 3

Sie müssen diese Zeile aus einer der oben aufgeführten Dateien übernehmen. Wir haben die Zeile in der /etc/pam.d/sshdDatei kommentiert .

Nachdem Sie dies getan haben, sollten Sie dieses Problem nie mehr haben.

Cyberninja
quelle
Willkommen in SU. Versuchen Sie, ein bisschen mehr darüber zu erklären, wie Sie zu Ihrem Problem gekommen sind, und ein bisschen mehr über Ihre Antwort, wenn Sie können.
erkrankt
Ok Sickest, ich werde meinen Beitrag aktualisieren.
Cyberninja
Funktionierte auch auf meinem RHEL6-Server. Der Befehl war jedoch 'pam_tally2'.
SidJ
Überprüfen Sie die PAM-Konfiguration! In meinem PAM verwendet es Datei /var/log/failllog, aber pam_tally2Befehl wird standardmäßig verwendet /var/log/tallylog, so dass Benutzer als nicht gesperrt gemeldet. Sie können verwenden pam_tally2 --file /var/log/faillog.
Marki555
8

Ich habe heute dasselbe Problem mit einem Benutzerkonto auf einem Server mit SUSE Linux Enterprise Server 11 SP2 festgestellt, auch nachdem das Kennwort zurückgesetzt und das Alter auf 0 geändert wurde (chage -d 0 userID).

[me@mordor ~]$ ssh frodo@mordor

Welcome to SUSE Linux Enterprise Server 11 SP2  (x86_64) - Kernel \r (\l).


Account locked due to 29 failed logins
Password:
Account locked due to 30 failed logins
Password:

Mit demselben Szenario, das @Jam in seinem ursprünglichen Beitrag beschrieben hat. Nichts, was das Konto zeigt, ist weder für "/ etc / passwd" noch für "/ etc / shadow" gesperrt. Befehle wie "passwd -S -a | grep frodo" zeigten an, dass die ID nicht gesperrt war (LK)

me@mordor:~> sudo passwd -S -a | grep frodo
frodo PS 01/01/1970 1 90 7 180

" Pam_tally2 " zeigt auch, dass die ID NICHT gesperrt war:

me@mordor:~> sudo /sbin/pam_tally2 --user frodo
Login           Failures Latest failure     From
frodo             0

Aber das Problem war in der Tat mit " pam_tally "

me@mordor:~> sudo /sbin/pam_tally --user frodo
User frodo    (500)   has 32

Nach dem Entsperren des Benutzer-ID-Kennworts konnte ich mich mit den neuen Anmeldeinformationen anmelden und die Fehlermeldung vermeiden.

me@mordor:~> sudo /sbin/pam_tally --user frodo --reset
User frodo    (500)   had 32
me@mordor:~> sudo /sbin/pam_tally --user frodo
User frodo    (500)   has 0

Hoffe , das hilft jemand anderes seinen / ihren Kopf zu brechen zu vermeiden , wie ich in der letzten Stunde haben oder so ... So kurz eine lange Geschichte beide „ sich bewusst sein , um zu überprüfen , pam_tally “ und „ pam_tally2 “ , wenn das Konto in SuSE gesperrt !!

Grüße, Hernan.

3LRusS1T0
quelle
Vielen Dank :) Was ist der Unterschied zwischen pam_tally und pam_tally2?
Mwfearnley
1
Überprüfen Sie die PAM-Konfiguration! In meinem PAM verwendet es eine Datei /var/log/failllog, aber der pam_tally2Befehl wird standardmäßig verwendet /var/log/tallylog, sodass der Benutzer fälschlicherweise als nicht gesperrt gemeldet wird. Sie können verwenden pam_tally2 --file /var/log/faillog.
Marki555
3

Du kannst Tippen:

pam_tally2 -r -u user_name

um das Konto zu entsperren.

lejuste
quelle
1

Versuchen

usermod --expire 9999

Deaktivieren der Inaktivität für das Konto (dies setzt das Ablaufdatum auf 1/1/9999). passwd -uFunktioniert nur, wenn das Passwort "gesperrt" ist, nicht jedoch für deaktivierte Konten.

Darth Android
quelle
Wie ich sehe, besteht also ein Unterschied zwischen dem gesperrten / deaktivierten Kennwort und dem gesperrten / deaktivierten Konto? Die Meldung bei fehlgeschlagener Anmeldung hat mich dann irregeführt. Beeinflusst diese Methode das Ablaufdatum des Passworts oder ist das Ablaufdatum des Kontos eine separate Sache?
Jam
Ich habe es versucht und jetzt, wenn ich mich einloggen will, wird nur "Login fehlgeschlagen" angezeigt, obwohl ich definitiv das richtige Passwort erhalte (nach einem Fehler habe ich es geändert, um 100% sicher zu sein). Irgendwelche Vorschläge? S:
Marmelade
Dadurch wird das Ablaufdatum des Kontos geändert, das sich vom Ablaufdatum des Kennworts unterscheidet. So können Konten aktiv oder abgelaufen sein, Kennwörter können aktiv, gesperrt oder abgelaufen sein und es ist möglich, ein Konto nach Ablauf des Kennworts automatisch ablaufen zu lassen. Was ist die Ausgabe von passwd --status <username>? Es wäre hilfreich, wenn Sie dies Ihrer Frage hinzufügen könnten.
Darth Android
Die Version passwddieser Distribution akzeptiert --statuskeine Option, aber passwd -S <user>('Kennwortattribute anzeigen') gibt an: <user> PS <date> <password expiry options>wobei Datum das Datum ist, an dem ich das Kennwort zuletzt geändert habe (gestern), und die Kennwortablaufoptionen min age(0), max age(90), days before expiry to issue warning(7) und days after expiry with usable login(-1). Diese Einstellungen haben alle zuvor funktioniert, daher glaube ich nicht, dass sie die Ursache für das Problem sind.
Jam
1

Das Problem könnte auch sein, dass der Account gerade erstellt wurde und noch kein Passwort vergeben wurde.

Wenn ja, passwd -S <user>wird angezeigt LK(für gesperrt) und passwd -u <user>funktioniert nicht.

Sie müssen dem Benutzer nur ein Passwort zuweisen, um das Problem zu beheben.

Otin
quelle
0

Mit diesem Befehl können Sie einen nicht gesperrten Benutzer ohne Kennwort erstellen:

adduser --gecos "Username" --disabled-password "username"

Dies bedeutet, dass kein zufälliges Passwort im System hängt.

Congelli501
quelle