From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: alexei.mezin@gmail.com, ALT Linux Sisyphus discussions , "Alexei V. Mezin" References: <6ee4c3ff-02fc-02fa-b81d-6e0b900cbea1@gmail.com> <657f01e6-2be0-243b-5afd-037b2c24d0fb@basealt.ru> From: Denis Medvedev Message-ID: Date: Fri, 20 Sep 2019 10:35:33 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Thunderbird/60.8.0 MIME-Version: 1.0 In-Reply-To: Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Content-Language: en-US Subject: Re: [sisyphus] =?utf-8?b?0LTQstGD0YXRhNCw0LrRgtC+0YDQvdCw0Y8g0LDRg9GC?= =?utf-8?b?0LXQvdGC0LjRhNC40LrQsNGG0LjRjyDRgSBnb29nbGUgYXV0aGVudGljYXRv?= =?utf-8?q?r?= X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 20 Sep 2019 07:39:35 -0000 Archived-At: List-Archive: List-Post: 20.09.2019 9:04, Alexei V. Mezin пишет: > 20.09.2019 7:12, Anton Farygin пишет: > >> Предполагаю что ты единственный пользователь Альта, кто пытается >> сделать такую схему аутентификации. > > Хм... ну Ок. Но инструмент-то имеется! Кто-то же его в Сизиф положил > :) Да и задача не сказать чтоб редкая и экзотическая. > > > > Потыкал в этот снаряд еще. Гугл говорит, что у всех работает, а у нас > наверное слишком особенный sshd/pam. > > Ситуация примерно такая: > > №1 если ставить вызов google_auth первым в списке > > #%PAM-1.0 > auth           requisite       pam_google_authenticator.so > echo_verification_code nullok > auth            required        pam_userpass.so > ... > > То при попытке логина ожидаемо сначала запрашивается одноразовый код. > В логах видно, что он принимается корректно, но сразу же выскакивает > надпись > > sshd[31113]: error: PAM: Application needs to call libpam again for > alexei from 192.168.1.4 > > И второго запроса уже обычного пароля не происходит. Снова > запрашивается код. После трех попыток видимо google-часть сдается, и > тогда уже виден запрос пароля, но к успеху он не приводит. > > №2 если поставить вызов google_auth после прочих auth, то сначала > ожидаемо запрашивается пароль на вход в систему. Но входа не > происходит. В логах видно, что google_auth не получила корректного > кода. Но как бы она его смогла получить, если запрос кода не выдается? > > №3 если гугло-часть поставить вперед, снабдив ключом forward_pass, то > нормально происходит запрос вида "введите пароль и код". Если в одну > строку ввести пароль и код в формате passwd111122222, то гугло-часть > исправно получает свой код, видимо передает пароль дальше (где его > должны перехватить ключем use_first_pass), но все снова возвращается > на запрос пароля-кода с вот таким диагнозом > > sshd[3566]: pam_tcb(sshd:auth): Authentication passed for alexei from > (uid=0) > sshd[3564]: error: PAM: Conversation error for alexei from 127.0.0.1 могу посоветовать вставить аутентификатор в login и поотлаживаться сначала на консоли. > > > _______________________________________________ > Sisyphus mailing list > Sisyphus@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sisyphus