* [Comm] google-authenticator в p6
@ 2013-09-09 18:29 Boris Gulay
2013-09-10 15:53 ` Boris Gulay
0 siblings, 1 reply; 6+ messages in thread
From: Boris Gulay @ 2013-09-09 18:29 UTC (permalink / raw)
To: ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 842 bytes --]
Хочу включить себе такую штуку как google-authenticator. У меня p6.
Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без
ошибок. Настроил всё как написано (например, здесь
http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication
yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c)
отрабатывает нормально, при входе код запрашивается.
Однако, код всегда неверный. При этом в лог сыпятся сообщения " error:
PAM: Application needs to call libpam again for [USER] from [IP]"
Вопрос: что я делаю не так?
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 261 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6
2013-09-09 18:29 [Comm] google-authenticator в p6 Boris Gulay
@ 2013-09-10 15:53 ` Boris Gulay
2013-10-03 21:24 ` Boris Gulay
0 siblings, 1 reply; 6+ messages in thread
From: Boris Gulay @ 2013-09-10 15:53 UTC (permalink / raw)
To: ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 1639 bytes --]
09.09.2013 22:29, Boris Gulay пишет:
> Хочу включить себе такую штуку как google-authenticator. У меня p6.
>
> Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без
> ошибок. Настроил всё как написано (например, здесь
> http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication
> yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c)
> отрабатывает нормально, при входе код запрашивается.
>
> Однако, код всегда неверный. При этом в лог сыпятся сообщения " error:
> PAM: Application needs to call libpam again for [USER] from [IP]"
Добавлю:
Если оставить в файле конфигурации PAM только google, то работает
нормально (запрашивает логин, затем код). Если добавить pam_userpass.so,
то начинает бесконечно спрашивать код и говорить access denied. Такое
ощущение, что есть проблема с запросом пароля и userpass постоянно
сбрасывает процесс авторизации.
>
> Вопрос: что я делаю не так?
>
>
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
>
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 261 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6
2013-09-10 15:53 ` Boris Gulay
@ 2013-10-03 21:24 ` Boris Gulay
2013-10-03 22:41 ` Michael Shigorin
2013-10-04 14:17 ` Sergey Vlasov
0 siblings, 2 replies; 6+ messages in thread
From: Boris Gulay @ 2013-10-03 21:24 UTC (permalink / raw)
To: ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 2853 bytes --]
Так как ответа не последовало, а я всё-таки настроил, то отвечу сам
себе, для архива рассылки.
Итак, проблема в том, что модуль pam_userpass не хочет нормально
работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то
независимо от порядка следования модулей, будет выводится только запрос
на одноразовый пароль и всегда будет access denied.
Однако, не смотря на название, userpass не проверяет логин/пароль, он
просто запрашивает их и сохраняет внутри стека pam. А проверяет их
pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и
сам умеет запрашивать пароль!
Решение очень простое - выкидываем userpass, вставляем на его место tcb
без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так:
#auth required pam_userpass.so
auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth required pam_google_authenticator.so echo_verification_code
#auth include common-login-use_first_pass
Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я
и взял соответствующую строку) и всякий ldap, который мне не нужен.
Порядок следования модулей важен, при таком как у меня сначала
запрашивается пароль, затем всегда одноразовый код. Так невозможно
понять, что именно неверно, что хорошо для безопастности. Если хотите,
чтобы авторизация обламывалась сразу, замените required на requisite у
pam_tcb.
PS: Может это на вики?
10.09.2013 19:53, Boris Gulay пишет:
> 09.09.2013 22:29, Boris Gulay пишет:
>> Хочу включить себе такую штуку как google-authenticator. У меня p6.
>>
>> Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без
>> ошибок. Настроил всё как написано (например, здесь
>> http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication
>> yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c)
>> отрабатывает нормально, при входе код запрашивается.
>>
>> Однако, код всегда неверный. При этом в лог сыпятся сообщения " error:
>> PAM: Application needs to call libpam again for [USER] from [IP]"
> Добавлю:
> Если оставить в файле конфигурации PAM только google, то работает
> нормально (запрашивает логин, затем код). Если добавить pam_userpass.so,
> то начинает бесконечно спрашивать код и говорить access denied. Такое
> ощущение, что есть проблема с запросом пароля и userpass постоянно
> сбрасывает процесс авторизации.
>
>>
>> Вопрос: что я делаю не так?
>>
>>
>>
>> _______________________________________________
>> community mailing list
>> community@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/community
>>
>
>
>
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
>
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 261 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6
2013-10-03 21:24 ` Boris Gulay
@ 2013-10-03 22:41 ` Michael Shigorin
2013-10-04 10:47 ` Boris Gulay
2013-10-04 14:17 ` Sergey Vlasov
1 sibling, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2013-10-03 22:41 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote:
> PS: Может это на вики?
Резонно.
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6
2013-10-03 22:41 ` Michael Shigorin
@ 2013-10-04 10:47 ` Boris Gulay
0 siblings, 0 replies; 6+ messages in thread
From: Boris Gulay @ 2013-10-04 10:47 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
Michael Shigorin писал 04.10.2013 02:41:
> On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote:
>> PS: Может это на вики?
>
> Резонно.
Добавил на страницу про SSH (http://www.altlinux.org/SSH), внизу.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] google-authenticator в p6
2013-10-03 21:24 ` Boris Gulay
2013-10-03 22:41 ` Michael Shigorin
@ 2013-10-04 14:17 ` Sergey Vlasov
1 sibling, 0 replies; 6+ messages in thread
From: Sergey Vlasov @ 2013-10-04 14:17 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 3193 bytes --]
On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote:
> Так как ответа не последовало, а я всё-таки настроил, то отвечу сам
> себе, для архива рассылки.
>
> Итак, проблема в том, что модуль pam_userpass не хочет нормально
> работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то
> независимо от порядка следования модулей, будет выводится только запрос
> на одноразовый пароль и всегда будет access denied.
Это вполне ожидаемо, поскольку модуль pam_userpass на самом деле
предназначен для использования в случае, когда протокол обмена
предусматривает явные поля username и password; то, что он ломает
аутентификацию, если стек PAM запрашивает ещё что-то, так и задумывалось
(без pam_userpass приложение могло бы отправить в PAM имя или пароль в
ответ на совсем другие запросы, поскольку при обработке запроса от PAM у
приложения нет информации о том, что запрашивается именно имя пользователя
или пароль - только текстовая строка, возможно, переведённая на какой-то
язык, и флаг скрытия вводимых символов, по которому обычно и определяют
запрос пароля в подобных случаях).
Т.е., если нужна только простая проверка имени и пароля, при использовании
пакета openssh от ALT будет работать конфигурация с использованием
pam_userpass в /etc/pam.d/sshd и настройками в sshd_config:
PasswordAuthentication yes
ChallengeResponseAuthentication no
(кстати, если удалить только pam_userpass, это работать перестанет,
поскольку патч для поддержки pam_userpass удаляет из кода поддержку
передачи пароля в ответ на запрос PAM_PROMPT_ECHO_OFF).
Если же просто имени и пароля пользователя недостаточно,
PasswordAuthentication уже не годится, поэтому нужно включить
ChallengeResponseAuthentication, но в коде для этого метода нет и не может
быть поддержки pam_userpass, поэтому необходимо убрать pam_userpass из
/etc/pam.d/sshd и установить в sshd_config следующие параметры:
PasswordAuthentication no
ChallengeResponseAuthentication yes
> Однако, не смотря на название, userpass не проверяет логин/пароль, он
> просто запрашивает их и сохраняет внутри стека pam. А проверяет их
> pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и
> сам умеет запрашивать пароль!
>
> Решение очень простое - выкидываем userpass, вставляем на его место tcb
> без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так:
>
> #auth required pam_userpass.so
> auth required pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
> auth required pam_google_authenticator.so echo_verification_code
> #auth include common-login-use_first_pass
>
> Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я
> и взял соответствующую строку) и всякий ldap, который мне не нужен.
Вообще-то в common-login-use_first_pass лежал ещё pam_nologin.
Теоретически c ChallengeResponseAuthentication должна работать такая
конфигурация:
auth include common-login
auth required pam_google_authenticator.so echo_verification_code
(если pam_google_authenticator требуется использовать только для входа
через SSH, а при прочих методах входа проверять не требуется).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2013-10-04 14:17 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-09-09 18:29 [Comm] google-authenticator в p6 Boris Gulay
2013-09-10 15:53 ` Boris Gulay
2013-10-03 21:24 ` Boris Gulay
2013-10-03 22:41 ` Michael Shigorin
2013-10-04 10:47 ` Boris Gulay
2013-10-04 14:17 ` Sergey Vlasov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git