| View previous topic :: View next topic |
| Author |
Message |
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
 Posted: Thu Nov 18, 2004 2:25 pm Post subject: [SSH / PAM / NIS] interactions bizarres... [résolu] |
 |
|
Hello !
Aujourd'hui dans la catégorie prise de tête, je vous propose : l'histoire des interactions entre OpenSSH et PAM (l'outil dont Linux se sert pour gérer les authentifications).
Je m'explique...
J'ai un serveur (appelons-le Hector), avec une grosse puissance de calcul, sur lequel les étudiants se connectent lorsqu'ils ont des gros travaux à faire. Ce serveur ne comporte pas de comptes actifs : tout se passe via NIS (ce serveur est donc un client NIS - oui je sais, un serveur qui fait client ça fait bizarre  ).
Un autre serveur, distant (appelons-le Gertrude), héberge tous les comptes utilisateurs, et centralise les authentifications pour le compte des diverses salles de TP, et serveurs annexes.
Et là, j'ai un comportement très bizarre... Lorsqu'on tente de se logger sur une machine en salle de TP : aucun souci, tout se passe bien (ce sont des Gentoo). Et le serveur (Hector) en revanche, a un comportement bizarre lorsqu'on tente de se logger dessus via SSH. Certains comptes ne posent aucun problème... Alors que d'autres : c'est la grosse pagaille. Typiquement, pour logger un compte "de test" créé pour l'occasion, j'ai 3 refus du mot de passe avant d'avoir enfin accès à la machine, au 4ème essai !
| Code: | admin@mamachine admin $ ssh totobalo@hector
Password:
Password:
Password:
totobalo@hector's password: |
J'avoue que je comprend pas tout là, il semble que ce soit lié au fait que ssh ne saches pas trop parler le PAM dans le texte... Mais sans garantie non plus, les logs ne sont pas des plus explicites...
| auth.log wrote: | Nov 18 15:22:38 info sshd[3211]: error: PAM: Authentication failure for totobalo from mamachine.mondomaine
Nov 18 15:22:44 info last message repeated 2 times
Nov 18 15:22:44 info sshd[3211]: Failed keyboard-interactive/pam for totobalo from 164.81.60.20 port 33090 ssh2
Nov 18 15:22:45 info sshd[3211]: error: Could not get shadow information for totobalo
Nov 18 15:22:45 info sshd[3211]: Accepted password for totobalo from 164.81.60.20 port 33090 ssh2
Nov 18 15:22:45 info sshd(pam_unix)[3216]: session opened for user totobalo by (uid=0) |
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Last edited by anigel on Tue Nov 30, 2004 7:45 pm; edited 2 times in total |
|
| Back to top |
|
 |
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
| Posted: Sun Nov 21, 2004 7:30 pm Post subject: |
|
|
Problème résolu...
Après de nombreuses heures de recherche et de documentation, j'ai fini par conclure que la config PAM par défaut de SSH ne prend pas du tout en compte le cas de figure d'un serveur dont les comptes sont hébergés sur un "backend" (que ce soit OpenLDAP ou NIS ou autre machin bizarre à votre convenance).
Pour y remédier : rajoutez simplement la ligne suivante au fichier concernant le service PAM qui pose problème (dans mon cas /etc/pam.d/sshd) :
| Code: | | auth sufficient pam_unix.so |
Le module pam_unix.so authentifie l'utilisateur via les appels de librairie standard, laquelle est quasiment la seule à même de gérer l'authentification via NIS. Le fait de le tagger "sufficient" permet de ne pas "overrider" les paramètres d'authentification par défaut.
Ceci peut bien sûr être adaptés aux autres services dépendants de NIS.
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
| Back to top |
|
|
LostControl
l33t
Joined: 02 Mar 2004
Posts: 885
Location: La Glane, Suisse
|
| Posted: Mon Nov 22, 2004 8:57 am Post subject: |
|
|
Salut,
Pour ma part, j'ai mis:
car sinon j'avais 6 tentatives de login possibles comme dans ton cas. PAM est un truc un peu obscure à mes yeux et j'avoue ne m'être jamais trop penché dessus. Si jamais tu connais une bonne doc 
A+
_________________
http://www.jaqpot.net
http://www.fail2ban.org |
|
| Back to top |
|
|
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
| Posted: Mon Nov 22, 2004 9:12 am Post subject: |
|
|
En fait il y a une multitude de docs sur ce sujet. Les modules sont développés de manière très éparse, ce qui ne facilite pas les recherches.
Le point de départ de référence toutefois se trouve ici.
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
| Back to top |
|
|
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
| Posted: Mon Nov 22, 2004 2:02 pm Post subject: |
|
|
| LostControl wrote: | Salut,
Pour ma part, j'ai mis:
|
Après avoir regardé d'un peu plus près, nos 2 solutions reviennent exactement au même !
La mienne, je l'ai déjà expliqué, demande à PAM de faire appel à une authentification générique de la part de la librairie standard, laquelle sait "discuter" avec NIS.
Ta solution, interdit à ssh de s'authentifier via PAM, et donc... lui demande de s'authentifier auprès de la librairie standard ^^.
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
