From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <alexei@nanoscantech.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=0.2 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,FREEMAIL_FORGED_REPLYTO autolearn=no autolearn_force=no
 version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=nanoscantech-ru.20150623.gappssmtp.com; s=20150623;
 h=from:reply-to:subject:references:to:message-id:date:user-agent
 :mime-version:in-reply-to:content-language:content-transfer-encoding;
 bh=wKmWnixeGrrkezFEzliM0bJLy9FZer3N1zjgx4aACs0=;
 b=1e42iPA9o+w4DZWmxvUjdHLJLScgarfjAr0RC8LoGtMXRllSmsRNujBJtg98dGmKZe
 iBuuJ2721+3xA1pu45EClRDtd2sgyanbhe2m3X9iQi/7w/LlK0GOR9y/n6weiePwmTBb
 6ev2Y+O23pILFOlBYsgp1BHEHacRopKCcOKSghOVHycmhU0ZhUDxJlsig7E3DLB2DbGV
 Y1LQwLcYxnOwUSAmtz37FxIlAYXn068t4Y/DapXsdWzUvx0uXQu/ZwKZ/NGvPvSn1gvt
 e3Lwp5k/O3ZL5SXNl0+6yQB2B7jsiZHcZWwCvFvDH1E/b48MV6Tnn3tlxUJx+a6ELwmE
 SQww==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=1e100.net; s=20161025;
 h=x-gm-message-state:from:reply-to:subject:references:to:message-id
 :date:user-agent:mime-version:in-reply-to:content-language
 :content-transfer-encoding;
 bh=wKmWnixeGrrkezFEzliM0bJLy9FZer3N1zjgx4aACs0=;
 b=ptwPbjxEEDh8QC7nwBErAxDyQnjQOBWBPLtSwEAmbv0jG+vyLHg1nxWnUpvleD4hVN
 J086gmwNavCwqoKg3sAC1Nank8rggwXR352Xf+vDlCPQ45EOapkr4BiMatQe3g7hGTPd
 NhBZXYI0z8sbc4p9Wnc4rtsNlh6y/exJu5pBno9AaMjYD6zO/d8Eig7acSDipJHaKyhC
 VRk+lksiF1Q6oTkI51u7JRS870MiO3XHG8IatZ0KUPRfVCOR3EcHIvq0iUnwvhqMmCLW
 xO++dekcCt79vZJWWo27nBxjyQBAaOZPjkZM6+ah8jtUuchKj1JildStrn2T5/u3sXL8
 7dqg==
X-Gm-Message-State: APjAAAVrzwZGjleTw73NvdSG/2sJHpGQvHiO6YRKlYrFFtzs5f+jVuJ+
 aAjx5yVOoACK9lPOx8PwB9GW2+FlP8U=
X-Google-Smtp-Source: APXvYqy6431Ky9lZV64SBCeWWCxs4r2OMwe9r9EtWpZ1lHR2JXJOOB0riNKPJXMgH3mU26CSUEYI6g==
X-Received: by 2002:a2e:9215:: with SMTP id k21mr7690216ljg.20.1568959186239; 
 Thu, 19 Sep 2019 22:59:46 -0700 (PDT)
From: "Alexei V. Mezin" <alexei@nanoscantech.ru>
X-Google-Original-From: "Alexei V. Mezin" <alexei.mezin@gmail.com>
References: <6ee4c3ff-02fc-02fa-b81d-6e0b900cbea1@gmail.com>
 <657f01e6-2be0-243b-5afd-037b2c24d0fb@basealt.ru>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Message-ID: <b5580a1c-5e42-3cd8-a75c-a17b4b2d1b4b@gmail.com>
Date: Fri, 20 Sep 2019 09:04:33 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101
 Thunderbird/60.9.0
MIME-Version: 1.0
In-Reply-To: <657f01e6-2be0-243b-5afd-037b2c24d0fb@basealt.ru>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Language: ru
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus]
 =?utf-8?b?0LTQstGD0YXRhNCw0LrRgtC+0YDQvdCw0Y8g0LDRg9GC?=
 =?utf-8?b?0LXQvdGC0LjRhNC40LrQsNGG0LjRjyDRgSBnb29nbGUgYXV0aGVudGljYXRv?=
 =?utf-8?q?r?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: alexei.mezin@gmail.com,
 ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 20 Sep 2019 05:59:48 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/b5580a1c-5e42-3cd8-a75c-a17b4b2d1b4b@gmail.com/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

20.09.2019 7:12, Anton Farygin пишет:

> Предполагаю что ты единственный пользователь Альта, кто пытается сделать 
> такую схему аутентификации.

Хм... ну Ок. Но инструмент-то имеется! Кто-то же его в Сизиф положил :) 
Да и задача не сказать чтоб редкая и экзотическая.



Потыкал в этот снаряд еще. Гугл говорит, что у всех работает, а у нас 
наверное слишком особенный sshd/pam.

Ситуация примерно такая:

№1 если ставить вызов google_auth первым в списке

#%PAM-1.0
auth           requisite       pam_google_authenticator.so 
echo_verification_code nullok
auth            required        pam_userpass.so
...

То при попытке логина ожидаемо сначала запрашивается одноразовый код. В 
логах видно, что он принимается корректно, но сразу же выскакивает надпись

sshd[31113]: error: PAM: Application needs to call libpam again for
alexei from 192.168.1.4

И второго запроса уже обычного пароля не происходит. Снова запрашивается 
код. После трех попыток видимо google-часть сдается, и тогда уже виден 
запрос пароля, но к успеху он не приводит.

№2 если поставить вызов google_auth после прочих auth, то сначала 
ожидаемо запрашивается пароль на вход в систему. Но входа не происходит. 
В логах видно, что google_auth не получила корректного кода. Но как бы 
она его смогла получить, если запрос кода не выдается?

№3 если гугло-часть поставить вперед, снабдив ключом forward_pass, то 
нормально происходит запрос вида "введите пароль и код". Если в одну 
строку ввести пароль и код в формате passwd111122222, то гугло-часть 
исправно получает свой код, видимо передает пароль дальше (где его 
должны перехватить ключем use_first_pass), но все снова возвращается на 
запрос пароля-кода с вот таким диагнозом

sshd[3566]: pam_tcb(sshd:auth): Authentication passed for alexei from 
(uid=0)
sshd[3564]: error: PAM: Conversation error for alexei from 127.0.0.1