相关文章推荐
踢足球的洋葱  ·  iOS判断系统版本号的四种方法开发者社区·  2 月前    · 
讲道义的机器猫  ·  如何系统的学习 Elasticsearch ...·  2 月前    · 
害羞的蘑菇  ·  安装错误的libc6软件包和坏系统开发者社区·  3 周前    · 
坚韧的稀饭  ·  Oracle错误ORA-01400——ORA ...·  12 月前    · 
傲视众生的苦咖啡  ·  ViewPager, ...·  1 年前    · 
痛苦的热水瓶  ·  nodejs 设置响应头跨域_nodejs ...·  1 年前    · 
高大的黑框眼镜  ·  为什么消费位点过期了却仍未被删除_云消息队列 ...·  1 年前    · 
安静的手套  ·  请求头配置了withCredentials: ...·  1 年前    · 
Code  ›  日志报错 PAM Permission Denied_用户指南_云数据库OceanBase_企业版
系统配置 云数据库 系统日志 云系统
http://help.aliyun.com/apsara/enterprise/v_3_15_0_20210816/oceanbase/enterprise-user-guide/log-error-pam-permission-denied.html
爱笑的瀑布
1 年前

PAM(Pluggable Authentication Modules)是 Linux 系统上用于为应用与服务提供动态认证支持的组件。系统的某些配置可能导致所配置的 PAM 认证过程失败,从而使 OCP-Agent 的 pos_proxy 进程执行命令失败。

问题现象

当 OCP-Agent 2.4.0 及以上版本运行在 redhat、centos、alios 7 等 Linux 操作系统时,

  • 添加主机,子任务失败且日志包含 sudo: pam_open_session: Permission denied 报错信息。

  • 部署集群,子任务失败且日志包含 sudo: pam_open_session: Permission denied 报错信息。

  • 部署 OBProxy ,某些子任务失败且日志包含 sudo: pam_open_session: Permission denied 报错信息。

可能原因

系统中所配置的 Session 类型的 PAM 模块在验证相关状态时失败,可能原因如下:

  • 验证 sudo 权限时失败: /etc/sudoers 文件未给相关用户配置充足的权限。

  • 验证系统资源限制的配置时失败: ulimit 命令或 /etc/security/limits.conf 文件配置了不合理的系统资源限制。

解决方法

  • 当无法判断具体原因时,依次尝试如下方法解决问题。

  • 当原因为验证 sudo 权限时失败时,执行如下操作给予相关用户充足的 sudo 权限。

    1. 使用 root 用户登录操作系统。

    2. 打开 /etc/sudoers 文件: 

      vim /etc/sudoers

    3. 修改 root 与 admin 用户的权限,并保存文件: 

      root  ALL=(ALL) ALLadmin ALL=(ALL) ALL

    4. 重启 OCP-Agent: 

      export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py stop basesleep 10export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py start base

  • 当原因为验证系统资源限制的配置时失败时,可按如下两种方案进行操作。

    • 执行如下操作修改系统资源限制配置。

      1. 使用 root 用户登录操作系统。

      2. 查看内核允许的进程最大打开文件数。 

        cat /proc/sys/fs/nr_open

      3. 进入 /etc/security/limits.conf 文件,配置小于 /proc/sys/fs/nr_open 的文件打开数限制: 

        # 假设655360小于/proc/sys/fs/nr_opencat >> /etc/security/limits.conf <<EOF* soft nofile 655360* hard nofile 655360EOF

      4. 重启 OCP-Agent: 

        export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py stop basesleep 10export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py start base

    • 执行如下操作移除 PAM 在 session 中对系统资源限制的验证 。

      注意

      • 此方法将移除 PAM 在 session 中对系统资源限制的验证,可能引入安全风险。

      • 此方法将在 debian/ubuntu 系统上使 ulimit 的配置不生效。

      1. 使用 root 用户登录操作系统。

      2. 打开 PAM 配置文件: 

        vim /etc/pam.d/sudo

      3. 将以下行删除,并保存文件: 

        session    required     pam_limits.so

      4. 重启 OCP-Agent: 

        export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py stop basesleep 10export PYTHONPATH=/home/admin/ocp_agent/libs && cd /home/admin/ocp_agent && ./ocp_agentd.py start base
 
推荐文章
踢足球的洋葱  ·  iOS判断系统版本号的四种方法开发者社区
2 月前
讲道义的机器猫  ·  如何系统的学习 Elasticsearch ?-阿里云开发者社区
2 月前
害羞的蘑菇  ·  安装错误的libc6软件包和坏系统开发者社区
3 周前
坚韧的稀饭  ·  Oracle错误ORA-01400——ORA-01499_huyue6255_新浪博客
12 月前
傲视众生的苦咖啡  ·  ViewPager, DestroyItem, and NullPointerException - Microsoft Q&A
1 年前
痛苦的热水瓶  ·  nodejs 设置响应头跨域_nodejs 设置相应头 跨域_hello,是翠花呀的博客-CSDN博客
1 年前
高大的黑框眼镜  ·  为什么消费位点过期了却仍未被删除_云消息队列 Kafka 版-阿里云帮助中心
1 年前
安静的手套  ·  请求头配置了withCredentials: true,还不 - 沸点 - 掘金
1 年前
今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
Code - 代码工具平台
© 2024 ~ 沪ICP备11025650号