El usuario pepito01 no podía acceder por telnet a una máquina a la que solía acceder normalmente. La autenticación del usuario se realiza mediante LDAP.
# date
Tue Apr 29 11:49:45 CEST 2014
# telnet
login: pepito01
pepito01's Password:
You are not allowed to login at this time.
Entramos como root para ver los atributos. En principio suponía que había alcanzado el número máximo de reintentos, pero el mensaje es distinto.
# ssh
# lsuser -f pepito01
pepito01:
id=111111
pgrp=alli
groups=users
home=/home/pepito01
shell=/bin/ksh
gecos=Prueba
login=true
su=true
rlogin=true
telnet=true
daemon=true
admin=false
sugroups=ALL
admgroups=
tpath=nosak
ttys=ALL
expires=0
auth1=SYSTEM
auth2=pad_meth
umask=22
registry=LDAP
SYSTEM=LDAP
logintimes=april28:0000-2359
loginretries=20
pwdwarntime=15
account_locked=false
minage=1
maxage=6
maxexpired=-1
minalpha=1
minother=1
mindiff=3
maxrepeats=3
minlen=8
histexpire=168
histsize=10
pwdchecks=
dictionlist=
default_roles=
fsize=2097151
cpu=-1
data=262144
stack=65536
core=0
rss=65536
nofiles=2000
core_hard=0
time_last_login=1398699038
time_last_unsuccessful_login=1398764245
tty_last_login=/dev/pts/1
tty_last_unsuccessful_login=/dev/pts/0
host_last_login=pepito01.host.com
host_last_unsuccessful_login=pepito01.host.com
unsuccessful_login_count=1
roles=
Tras varias pruebas me he dado cuenta de que el mensaje es bastante indicativo ya que dice "this time" por lo que he mirado con detenimiento los atributos relacionados con tiempo y me he dado cuenta de algo que había obviado, el parámetro "logintimes" muestra la fecha de ayer.
Desconozco lo que hacen en la parte LDAP, porque en los parámetros por defecto del sistema y , por tanto, los que aplican al usuario desde nuestra parte dejan vacío este campo. En conclusión, he cambiado el loginretries y he podido entrar. Hemos reportado al grupo de LDAP que ese es el problema y que deben corregir la política.
root@
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[TOP] [Entry Fields]
* User NAME pepito01
User ID [111111] #
ADMINISTRATIVE USER? false +
Primary GROUP [alli] +
Group SET [users] +
ADMINISTRATIVE GROUPS [] +
ROLES [] +
Another user can SU TO USER? true +
SU GROUPS [ALL] +
HOME directory [/home/pepito01]
Initial PROGRAM [/bin/ksh]
User INFORMATION [Prueba]
EXPIRATION date (MMDDhhmmyy) [0]
Is this user ACCOUNT LOCKED? false +
User can LOGIN? true +
User can LOGIN REMOTELY(rsh,tn,rlogin)? true +
Allowed LOGIN TIMES [april29:0000-2359] --> MODIFICADO A FECHA DE HOY
Number of FAILED LOGINS before [3] #
user account is locked
Login AUTHENTICATION GRAMMAR [LDAP]
Valid TTYs [ALL]
Days to WARN USER before password expires [15] #
Password CHECK METHODS []
Password DICTIONARY FILES []
NUMBER OF PASSWORDS before reuse [10] #
WEEKS before password reuse [168] #
Weeks between password EXPIRATION and LOCKOUT [-1]
Password MAX. AGE [6] #
Password MIN. AGE [1] #
[MORE...36]
Probamos a hacer el telnet ahora
# telnet
login: pepito01
pepito01's Password:
1 unsuccessful login attempts since last login.
Last unsuccessful login: Tue Apr 29 11:37:25 2014 on /dev/pts/0 from
Last login: Mon Apr 28 17:30:38 2014 on /dev/pts/1 from pepito01.host.com
Solucionado.
No hay comentarios:
Publicar un comentario