* [Comm] google-authenticator в p6 @ 2013-09-09 18:29 Boris Gulay 2013-09-10 15:53 ` Boris Gulay 0 siblings, 1 reply; 6+ messages in thread From: Boris Gulay @ 2013-09-09 18:29 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 842 bytes --] Хочу включить себе такую штуку как google-authenticator. У меня p6. Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без ошибок. Настроил всё как написано (например, здесь http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c) отрабатывает нормально, при входе код запрашивается. Однако, код всегда неверный. При этом в лог сыпятся сообщения " error: PAM: Application needs to call libpam again for [USER] from [IP]" Вопрос: что я делаю не так? [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 261 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6 2013-09-09 18:29 [Comm] google-authenticator в p6 Boris Gulay @ 2013-09-10 15:53 ` Boris Gulay 2013-10-03 21:24 ` Boris Gulay 0 siblings, 1 reply; 6+ messages in thread From: Boris Gulay @ 2013-09-10 15:53 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 1639 bytes --] 09.09.2013 22:29, Boris Gulay пишет: > Хочу включить себе такую штуку как google-authenticator. У меня p6. > > Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без > ошибок. Настроил всё как написано (например, здесь > http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication > yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c) > отрабатывает нормально, при входе код запрашивается. > > Однако, код всегда неверный. При этом в лог сыпятся сообщения " error: > PAM: Application needs to call libpam again for [USER] from [IP]" Добавлю: Если оставить в файле конфигурации PAM только google, то работает нормально (запрашивает логин, затем код). Если добавить pam_userpass.so, то начинает бесконечно спрашивать код и говорить access denied. Такое ощущение, что есть проблема с запросом пароля и userpass постоянно сбрасывает процесс авторизации. > > Вопрос: что я делаю не так? > > > > _______________________________________________ > community mailing list > community@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/community > [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 261 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6 2013-09-10 15:53 ` Boris Gulay @ 2013-10-03 21:24 ` Boris Gulay 2013-10-03 22:41 ` Michael Shigorin 2013-10-04 14:17 ` Sergey Vlasov 0 siblings, 2 replies; 6+ messages in thread From: Boris Gulay @ 2013-10-03 21:24 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 2853 bytes --] Так как ответа не последовало, а я всё-таки настроил, то отвечу сам себе, для архива рассылки. Итак, проблема в том, что модуль pam_userpass не хочет нормально работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то независимо от порядка следования модулей, будет выводится только запрос на одноразовый пароль и всегда будет access denied. Однако, не смотря на название, userpass не проверяет логин/пароль, он просто запрашивает их и сохраняет внутри стека pam. А проверяет их pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и сам умеет запрашивать пароль! Решение очень простое - выкидываем userpass, вставляем на его место tcb без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так: #auth required pam_userpass.so auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok auth required pam_google_authenticator.so echo_verification_code #auth include common-login-use_first_pass Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я и взял соответствующую строку) и всякий ldap, который мне не нужен. Порядок следования модулей важен, при таком как у меня сначала запрашивается пароль, затем всегда одноразовый код. Так невозможно понять, что именно неверно, что хорошо для безопастности. Если хотите, чтобы авторизация обламывалась сразу, замените required на requisite у pam_tcb. PS: Может это на вики? 10.09.2013 19:53, Boris Gulay пишет: > 09.09.2013 22:29, Boris Gulay пишет: >> Хочу включить себе такую штуку как google-authenticator. У меня p6. >> >> Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без >> ошибок. Настроил всё как написано (например, здесь >> http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication >> yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c) >> отрабатывает нормально, при входе код запрашивается. >> >> Однако, код всегда неверный. При этом в лог сыпятся сообщения " error: >> PAM: Application needs to call libpam again for [USER] from [IP]" > Добавлю: > Если оставить в файле конфигурации PAM только google, то работает > нормально (запрашивает логин, затем код). Если добавить pam_userpass.so, > то начинает бесконечно спрашивать код и говорить access denied. Такое > ощущение, что есть проблема с запросом пароля и userpass постоянно > сбрасывает процесс авторизации. > >> >> Вопрос: что я делаю не так? >> >> >> >> _______________________________________________ >> community mailing list >> community@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/community >> > > > > > _______________________________________________ > community mailing list > community@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/community > [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 261 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6 2013-10-03 21:24 ` Boris Gulay @ 2013-10-03 22:41 ` Michael Shigorin 2013-10-04 10:47 ` Boris Gulay 2013-10-04 14:17 ` Sergey Vlasov 1 sibling, 1 reply; 6+ messages in thread From: Michael Shigorin @ 2013-10-03 22:41 UTC (permalink / raw) To: ALT Linux Community general discussions On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote: > PS: Может это на вики? Резонно. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6 2013-10-03 22:41 ` Michael Shigorin @ 2013-10-04 10:47 ` Boris Gulay 0 siblings, 0 replies; 6+ messages in thread From: Boris Gulay @ 2013-10-04 10:47 UTC (permalink / raw) To: shigorin, ALT Linux Community general discussions Michael Shigorin писал 04.10.2013 02:41: > On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote: >> PS: Может это на вики? > > Резонно. Добавил на страницу про SSH (http://www.altlinux.org/SSH), внизу. ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6 2013-10-03 21:24 ` Boris Gulay 2013-10-03 22:41 ` Michael Shigorin @ 2013-10-04 14:17 ` Sergey Vlasov 1 sibling, 0 replies; 6+ messages in thread From: Sergey Vlasov @ 2013-10-04 14:17 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 3193 bytes --] On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote: > Так как ответа не последовало, а я всё-таки настроил, то отвечу сам > себе, для архива рассылки. > > Итак, проблема в том, что модуль pam_userpass не хочет нормально > работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то > независимо от порядка следования модулей, будет выводится только запрос > на одноразовый пароль и всегда будет access denied. Это вполне ожидаемо, поскольку модуль pam_userpass на самом деле предназначен для использования в случае, когда протокол обмена предусматривает явные поля username и password; то, что он ломает аутентификацию, если стек PAM запрашивает ещё что-то, так и задумывалось (без pam_userpass приложение могло бы отправить в PAM имя или пароль в ответ на совсем другие запросы, поскольку при обработке запроса от PAM у приложения нет информации о том, что запрашивается именно имя пользователя или пароль - только текстовая строка, возможно, переведённая на какой-то язык, и флаг скрытия вводимых символов, по которому обычно и определяют запрос пароля в подобных случаях). Т.е., если нужна только простая проверка имени и пароля, при использовании пакета openssh от ALT будет работать конфигурация с использованием pam_userpass в /etc/pam.d/sshd и настройками в sshd_config: PasswordAuthentication yes ChallengeResponseAuthentication no (кстати, если удалить только pam_userpass, это работать перестанет, поскольку патч для поддержки pam_userpass удаляет из кода поддержку передачи пароля в ответ на запрос PAM_PROMPT_ECHO_OFF). Если же просто имени и пароля пользователя недостаточно, PasswordAuthentication уже не годится, поэтому нужно включить ChallengeResponseAuthentication, но в коде для этого метода нет и не может быть поддержки pam_userpass, поэтому необходимо убрать pam_userpass из /etc/pam.d/sshd и установить в sshd_config следующие параметры: PasswordAuthentication no ChallengeResponseAuthentication yes > Однако, не смотря на название, userpass не проверяет логин/пароль, он > просто запрашивает их и сохраняет внутри стека pam. А проверяет их > pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и > сам умеет запрашивать пароль! > > Решение очень простое - выкидываем userpass, вставляем на его место tcb > без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так: > > #auth required pam_userpass.so > auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok > auth required pam_google_authenticator.so echo_verification_code > #auth include common-login-use_first_pass > > Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я > и взял соответствующую строку) и всякий ldap, который мне не нужен. Вообще-то в common-login-use_first_pass лежал ещё pam_nologin. Теоретически c ChallengeResponseAuthentication должна работать такая конфигурация: auth include common-login auth required pam_google_authenticator.so echo_verification_code (если pam_google_authenticator требуется использовать только для входа через SSH, а при прочих методах входа проверять не требуется). [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2013-10-04 14:17 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2013-09-09 18:29 [Comm] google-authenticator в p6 Boris Gulay 2013-09-10 15:53 ` Boris Gulay 2013-10-03 21:24 ` Boris Gulay 2013-10-03 22:41 ` Michael Shigorin 2013-10-04 10:47 ` Boris Gulay 2013-10-04 14:17 ` Sergey Vlasov
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git