3 Wege zur Authentifizierung?

Diskutiere 3 Wege zur Authentifizierung? im Samba Forum im Bereich Netzwerke & Serverdienste; Hallo Leute, ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können: 1x Active Directory zu einem Win2008 server per AD...

  1. ogghi

    ogghi Grünschnabel

    Dabei seit:
    26.05.2014
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo Leute,

    ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können:

    1x Active Directory zu einem Win2008 server per AD accounts (funtioniert schon mal, PAM, Kerberos eingerichtet)
    1x Per SSH Private Key, funktioniert auch schon
    1x Per lokalen dedizierten User, falls mal ein Admin krank ist und AD streikt (schon mal passiert)

    Es hapert eigentlich nur noch am letzten.
    Ich will nicht cleartext Passwörter aktivieren für alle User auf dem (Ubuntu 16.04) server. Es soll nur einen User für SSH geben der ein recht langes (Zufalls)Passwort hat.

    Ich will eigentlich das administrator nur mit SSH key authentifizieren kann, nicht aber per klartext.
    sshuser aber soll das dürfen.

    Wenn ich PAM control flag auf required stelle passiert das:

    Code:
    Nov 14 22:25:24 meinserver sshd[29318]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
    Nov 14 22:25:26 meinserver sshd[29318]: Failed password for sshuser from ip.adresse.x.y port 55070 ssh2
    Nov 14 22:25:27 meinserver sshd[29318]: Connection closed by ip.adresse.x.y port 55070 [preauth]
    Das gleiche mit dem administrator user.

    Stelle ich in der PAM Datei aber auf sufficient:
    Code:
    Nov 14 22:23:22 meinserver sshd[29164]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "administrator"
    Nov 14 22:23:22 meinserver sshd[29164]: Accepted password for administrator from ip.adresse.x.y port 55050 ssh2
    Nov 14 22:23:22 meinserver sshd[29164]: pam_unix(sshd:session): session opened for user administrator by (uid=0)
    Nov 14 22:23:22 meinserver systemd-logind[987]: New session 1227 of user administrator.
    Nov 14 22:23:41 meinserver sshd[29195]: Received disconnect from ip.adresse.x.y port 55050:11: disconnected by user
    Nov 14 22:23:41 meinserver sshd[29195]: Disconnected from ip.adresse.x.y port 55050
    Nov 14 22:23:41 meinserver sshd[29164]: pam_unix(sshd:session): session closed for user administrator
    Nov 14 22:23:41 meinserver systemd-logind[987]: Removed session 1227.
    Nov 14 22:23:52 meinserver sshd[29211]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
    Nov 14 22:23:52 meinserver sshd[29211]: Accepted password for sshuser from ip.adresse.x.y port 56346 ssh2
    Nov 14 22:23:52 meinserver sshd[29211]: pam_unix(sshd:session): session opened for user sshuser by (uid=0)
    Nov 14 22:23:52 meinserver systemd-logind[987]: New session 1228 of user sshuser.
    Nov 14 22:23:52 meinserver systemd: pam_unix(systemd-user:session): session opened for user sshuser by (uid=0)
    Nov 14 22:24:01 meinserver sshd[29247]: Received disconnect from ip.adresse.x.y port 56346:11: disconnected by user
    Nov 14 22:24:01 meinserver sshd[29247]: Disconnected from ip.adresse.x.y port 56346
    Nov 14 22:24:01 meinserver sshd[29211]: pam_unix(sshd:session): session closed for user sshuser
    Nov 14 22:24:01 meinserver systemd-logind[987]: Removed session 1228.
    Nov 14 22:24:01 meinserver systemd: pam_unix(systemd-user:session): session closed for user sshuser
    Da finde ich die Aussage im Log (tailf /var/log/auth.log) schon mal komisch, erst "requirement not met" und dann aber accepted password.

    Active directory funktioniert soweit, genauso SSH key auth.

    Hat da jemand eine Idee dazu?
     
  2. ogghi

    ogghi Grünschnabel

    Dabei seit:
    26.05.2014
    Beiträge:
    2
    Zustimmungen:
    0
    Hab ich so viel Glück und bin der Einzige mit dem Problem? :P
     
  3. #3 hellfire, 16.11.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    97
    Zustimmungen:
    12
    Hi ogghi,

    mit PAM habe ich selber noch nicht so viel rumgebastelt, würde aber empfehlen sich intensiv mit der PAM-Dokumentation zu beschäftigen. Ich habe in Erinnerung, dass das alles nicht so selbsterklärend ist und man da schon genau wissen muss, was für Bereiche(account,auth,session,...) es gibt und wie die zusammen geschaltet sind(required,requisite,sufficient) und was das alles genau bedeutet.

    Grüße,
    hellfire
     
Thema:

3 Wege zur Authentifizierung?

Die Seite wird geladen...

3 Wege zur Authentifizierung? - Ähnliche Themen

  1. Niederländische Konsumentenvereinigung verklagt Samsung wegen fehlender Android-Updates

    Niederländische Konsumentenvereinigung verklagt Samsung wegen fehlender Android-Updates: Die niederländischen Verbrauerschützer vom »Consumentenbond« haben Samsung verklagt, um den Hersteller zu zwingen, seine Smartphones zeitgerecht...
  2. Oracle muss wegen Java zu Kreuze kriechen

    Oracle muss wegen Java zu Kreuze kriechen: Der amerikanische Softwarehersteller Oracle einigete sich mit der US-Handelsbehörde FTC darauf, dass sich das Unternehmen öffentlich der...
  3. Norwegens Provinz Akerhus testet Open-Source-Frühwarnsystem

    Norwegens Provinz Akerhus testet Open-Source-Frühwarnsystem: Ein Open-Source-Frühwarnsystem, das auf eine Ausschreibung hin von zwei Firmem realisiert wurde, wird in Norwegens Provinz Akerhus nun eingeführt....
  4. Kernel-Entwickler Dmitriy Monakhov wegen Putin-Protest inhaftiert

    Kernel-Entwickler Dmitriy Monakhov wegen Putin-Protest inhaftiert: Der bekannte Kernel-Entwickler Dmitriy Monakhov wurde wegen einer Protestaktion gegen Putins Ukraine-Politik am 28. August in Moskau verhaftet und...
  5. Zwei Wege zu UEFI Secure Boot mit Linux

    Zwei Wege zu UEFI Secure Boot mit Linux: Der derzeitige Stand der Entwicklung bei Secure Boot bietet zwei Bootloader mit zwei verschiedenen Konzepten. Matthew Garrett möchte beide...