From: Sergey Vlasov <vsu@altlinux.ru>
To: community@lists.altlinux.org
Subject: Re: [Comm] google-authenticator в p6
Date: Fri, 4 Oct 2013 18:17:32 +0400
Message-ID: <20131004141732.GD16548@newmaster.mivlgu.local> (raw)
In-Reply-To: <524DE086.9050209@boressoft.ru>
[-- Attachment #1: Type: text/plain, Size: 3193 bytes --]
On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote:
> Так как ответа не последовало, а я всё-таки настроил, то отвечу сам
> себе, для архива рассылки.
>
> Итак, проблема в том, что модуль pam_userpass не хочет нормально
> работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то
> независимо от порядка следования модулей, будет выводится только запрос
> на одноразовый пароль и всегда будет access denied.
Это вполне ожидаемо, поскольку модуль pam_userpass на самом деле
предназначен для использования в случае, когда протокол обмена
предусматривает явные поля username и password; то, что он ломает
аутентификацию, если стек PAM запрашивает ещё что-то, так и задумывалось
(без pam_userpass приложение могло бы отправить в PAM имя или пароль в
ответ на совсем другие запросы, поскольку при обработке запроса от PAM у
приложения нет информации о том, что запрашивается именно имя пользователя
или пароль - только текстовая строка, возможно, переведённая на какой-то
язык, и флаг скрытия вводимых символов, по которому обычно и определяют
запрос пароля в подобных случаях).
Т.е., если нужна только простая проверка имени и пароля, при использовании
пакета openssh от ALT будет работать конфигурация с использованием
pam_userpass в /etc/pam.d/sshd и настройками в sshd_config:
PasswordAuthentication yes
ChallengeResponseAuthentication no
(кстати, если удалить только pam_userpass, это работать перестанет,
поскольку патч для поддержки pam_userpass удаляет из кода поддержку
передачи пароля в ответ на запрос PAM_PROMPT_ECHO_OFF).
Если же просто имени и пароля пользователя недостаточно,
PasswordAuthentication уже не годится, поэтому нужно включить
ChallengeResponseAuthentication, но в коде для этого метода нет и не может
быть поддержки pam_userpass, поэтому необходимо убрать pam_userpass из
/etc/pam.d/sshd и установить в sshd_config следующие параметры:
PasswordAuthentication no
ChallengeResponseAuthentication yes
> Однако, не смотря на название, userpass не проверяет логин/пароль, он
> просто запрашивает их и сохраняет внутри стека pam. А проверяет их
> pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и
> сам умеет запрашивать пароль!
>
> Решение очень простое - выкидываем userpass, вставляем на его место tcb
> без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так:
>
> #auth required pam_userpass.so
> auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
> auth required pam_google_authenticator.so echo_verification_code
> #auth include common-login-use_first_pass
>
> Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я
> и взял соответствующую строку) и всякий ldap, который мне не нужен.
Вообще-то в common-login-use_first_pass лежал ещё pam_nologin.
Теоретически c ChallengeResponseAuthentication должна работать такая
конфигурация:
auth include common-login
auth required pam_google_authenticator.so echo_verification_code
(если pam_google_authenticator требуется использовать только для входа
через SSH, а при прочих методах входа проверять не требуется).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 190 bytes --]
prev parent reply other threads:[~2013-10-04 14:17 UTC|newest]
Thread overview: 6+ messages / expand[flat|nested] mbox.gz Atom feed top
2013-09-09 18:29 Boris Gulay
2013-09-10 15:53 ` Boris Gulay
2013-10-03 21:24 ` Boris Gulay
2013-10-03 22:41 ` Michael Shigorin
2013-10-04 10:47 ` Boris Gulay
2013-10-04 14:17 ` Sergey Vlasov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20131004141732.GD16548@newmaster.mivlgu.local \
--to=vsu@altlinux.ru \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git