O
ogghi
Grünschnabel
Hallo Leute,
ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können:
1x Active Directory zu einem Win2008 server per AD accounts (funtioniert schon mal, PAM, Kerberos eingerichtet)
1x Per SSH Private Key, funktioniert auch schon
1x Per lokalen dedizierten User, falls mal ein Admin krank ist und AD streikt (schon mal passiert)
Es hapert eigentlich nur noch am letzten.
Ich will nicht cleartext Passwörter aktivieren für alle User auf dem (Ubuntu 16.04) server. Es soll nur einen User für SSH geben der ein recht langes (Zufalls)Passwort hat.
Ich will eigentlich das administrator nur mit SSH key authentifizieren kann, nicht aber per klartext.
sshuser aber soll das dürfen.
Wenn ich PAM control flag auf required stelle passiert das:
Das gleiche mit dem administrator user.
Stelle ich in der PAM Datei aber auf sufficient:
Da finde ich die Aussage im Log (tailf /var/log/auth.log) schon mal komisch, erst "requirement not met" und dann aber accepted password.
Active directory funktioniert soweit, genauso SSH key auth.
Hat da jemand eine Idee dazu?
ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können:
1x Active Directory zu einem Win2008 server per AD accounts (funtioniert schon mal, PAM, Kerberos eingerichtet)
1x Per SSH Private Key, funktioniert auch schon
1x Per lokalen dedizierten User, falls mal ein Admin krank ist und AD streikt (schon mal passiert)
Es hapert eigentlich nur noch am letzten.
Ich will nicht cleartext Passwörter aktivieren für alle User auf dem (Ubuntu 16.04) server. Es soll nur einen User für SSH geben der ein recht langes (Zufalls)Passwort hat.
Ich will eigentlich das administrator nur mit SSH key authentifizieren kann, nicht aber per klartext.
sshuser aber soll das dürfen.
Wenn ich PAM control flag auf required stelle passiert das:
Code:
Nov 14 22:25:24 meinserver sshd[29318]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
Nov 14 22:25:26 meinserver sshd[29318]: Failed password for sshuser from ip.adresse.x.y port 55070 ssh2
Nov 14 22:25:27 meinserver sshd[29318]: Connection closed by ip.adresse.x.y port 55070 [preauth]
Stelle ich in der PAM Datei aber auf sufficient:
Code:
Nov 14 22:23:22 meinserver sshd[29164]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "administrator"
Nov 14 22:23:22 meinserver sshd[29164]: Accepted password for administrator from ip.adresse.x.y port 55050 ssh2
Nov 14 22:23:22 meinserver sshd[29164]: pam_unix(sshd:session): session opened for user administrator by (uid=0)
Nov 14 22:23:22 meinserver systemd-logind[987]: New session 1227 of user administrator.
Nov 14 22:23:41 meinserver sshd[29195]: Received disconnect from ip.adresse.x.y port 55050:11: disconnected by user
Nov 14 22:23:41 meinserver sshd[29195]: Disconnected from ip.adresse.x.y port 55050
Nov 14 22:23:41 meinserver sshd[29164]: pam_unix(sshd:session): session closed for user administrator
Nov 14 22:23:41 meinserver systemd-logind[987]: Removed session 1227.
Nov 14 22:23:52 meinserver sshd[29211]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
Nov 14 22:23:52 meinserver sshd[29211]: Accepted password for sshuser from ip.adresse.x.y port 56346 ssh2
Nov 14 22:23:52 meinserver sshd[29211]: pam_unix(sshd:session): session opened for user sshuser by (uid=0)
Nov 14 22:23:52 meinserver systemd-logind[987]: New session 1228 of user sshuser.
Nov 14 22:23:52 meinserver systemd: pam_unix(systemd-user:session): session opened for user sshuser by (uid=0)
Nov 14 22:24:01 meinserver sshd[29247]: Received disconnect from ip.adresse.x.y port 56346:11: disconnected by user
Nov 14 22:24:01 meinserver sshd[29247]: Disconnected from ip.adresse.x.y port 56346
Nov 14 22:24:01 meinserver sshd[29211]: pam_unix(sshd:session): session closed for user sshuser
Nov 14 22:24:01 meinserver systemd-logind[987]: Removed session 1228.
Nov 14 22:24:01 meinserver systemd: pam_unix(systemd-user:session): session closed for user sshuser
Da finde ich die Aussage im Log (tailf /var/log/auth.log) schon mal komisch, erst "requirement not met" und dann aber accepted password.
Active directory funktioniert soweit, genauso SSH key auth.
Hat da jemand eine Idee dazu?