On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote: > Так как ответа не последовало, а я всё-таки настроил, то отвечу сам > себе, для архива рассылки. > > Итак, проблема в том, что модуль pam_userpass не хочет нормально > работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то > независимо от порядка следования модулей, будет выводится только запрос > на одноразовый пароль и всегда будет access denied. Это вполне ожидаемо, поскольку модуль pam_userpass на самом деле предназначен для использования в случае, когда протокол обмена предусматривает явные поля username и password; то, что он ломает аутентификацию, если стек PAM запрашивает ещё что-то, так и задумывалось (без pam_userpass приложение могло бы отправить в PAM имя или пароль в ответ на совсем другие запросы, поскольку при обработке запроса от PAM у приложения нет информации о том, что запрашивается именно имя пользователя или пароль - только текстовая строка, возможно, переведённая на какой-то язык, и флаг скрытия вводимых символов, по которому обычно и определяют запрос пароля в подобных случаях). Т.е., если нужна только простая проверка имени и пароля, при использовании пакета openssh от ALT будет работать конфигурация с использованием pam_userpass в /etc/pam.d/sshd и настройками в sshd_config: PasswordAuthentication yes ChallengeResponseAuthentication no (кстати, если удалить только pam_userpass, это работать перестанет, поскольку патч для поддержки pam_userpass удаляет из кода поддержку передачи пароля в ответ на запрос PAM_PROMPT_ECHO_OFF). Если же просто имени и пароля пользователя недостаточно, PasswordAuthentication уже не годится, поэтому нужно включить ChallengeResponseAuthentication, но в коде для этого метода нет и не может быть поддержки pam_userpass, поэтому необходимо убрать pam_userpass из /etc/pam.d/sshd и установить в sshd_config следующие параметры: PasswordAuthentication no ChallengeResponseAuthentication yes > Однако, не смотря на название, userpass не проверяет логин/пароль, он > просто запрашивает их и сохраняет внутри стека pam. А проверяет их > pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и > сам умеет запрашивать пароль! > > Решение очень простое - выкидываем userpass, вставляем на его место tcb > без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так: > > #auth required pam_userpass.so > auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok > auth required pam_google_authenticator.so echo_verification_code > #auth include common-login-use_first_pass > > Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я > и взял соответствующую строку) и всякий ldap, который мне не нужен. Вообще-то в common-login-use_first_pass лежал ещё pam_nologin. Теоретически c ChallengeResponseAuthentication должна работать такая конфигурация: auth include common-login auth required pam_google_authenticator.so echo_verification_code (если pam_google_authenticator требуется использовать только для входа через SSH, а при прочих методах входа проверять не требуется).