3 Wege zur Authentifizierung?

O

ogghi

Grünschnabel
Hallo Leute,

ich möchte auf manchen Servern gern mit 3 Methoden authentifizieren können:

1x Active Directory zu einem Win2008 server per AD accounts (funtioniert schon mal, PAM, Kerberos eingerichtet)
1x Per SSH Private Key, funktioniert auch schon
1x Per lokalen dedizierten User, falls mal ein Admin krank ist und AD streikt (schon mal passiert)

Es hapert eigentlich nur noch am letzten.
Ich will nicht cleartext Passwörter aktivieren für alle User auf dem (Ubuntu 16.04) server. Es soll nur einen User für SSH geben der ein recht langes (Zufalls)Passwort hat.

Ich will eigentlich das administrator nur mit SSH key authentifizieren kann, nicht aber per klartext.
sshuser aber soll das dürfen.

Wenn ich PAM control flag auf required stelle passiert das:

Code:
Nov 14 22:25:24 meinserver sshd[29318]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
Nov 14 22:25:26 meinserver sshd[29318]: Failed password for sshuser from ip.adresse.x.y port 55070 ssh2
Nov 14 22:25:27 meinserver sshd[29318]: Connection closed by ip.adresse.x.y port 55070 [preauth]
Das gleiche mit dem administrator user.

Stelle ich in der PAM Datei aber auf sufficient:
Code:
Nov 14 22:23:22 meinserver sshd[29164]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "administrator"
Nov 14 22:23:22 meinserver sshd[29164]: Accepted password for administrator from ip.adresse.x.y port 55050 ssh2
Nov 14 22:23:22 meinserver sshd[29164]: pam_unix(sshd:session): session opened for user administrator by (uid=0)
Nov 14 22:23:22 meinserver systemd-logind[987]: New session 1227 of user administrator.
Nov 14 22:23:41 meinserver sshd[29195]: Received disconnect from ip.adresse.x.y port 55050:11: disconnected by user
Nov 14 22:23:41 meinserver sshd[29195]: Disconnected from ip.adresse.x.y port 55050
Nov 14 22:23:41 meinserver sshd[29164]: pam_unix(sshd:session): session closed for user administrator
Nov 14 22:23:41 meinserver systemd-logind[987]: Removed session 1227.
Nov 14 22:23:52 meinserver sshd[29211]: pam_succeed_if(sshd:auth): requirement "user ingroup adgruppe" not met by user "sshuser"
Nov 14 22:23:52 meinserver sshd[29211]: Accepted password for sshuser from ip.adresse.x.y port 56346 ssh2
Nov 14 22:23:52 meinserver sshd[29211]: pam_unix(sshd:session): session opened for user sshuser by (uid=0)
Nov 14 22:23:52 meinserver systemd-logind[987]: New session 1228 of user sshuser.
Nov 14 22:23:52 meinserver systemd: pam_unix(systemd-user:session): session opened for user sshuser by (uid=0)
Nov 14 22:24:01 meinserver sshd[29247]: Received disconnect from ip.adresse.x.y port 56346:11: disconnected by user
Nov 14 22:24:01 meinserver sshd[29247]: Disconnected from ip.adresse.x.y port 56346
Nov 14 22:24:01 meinserver sshd[29211]: pam_unix(sshd:session): session closed for user sshuser
Nov 14 22:24:01 meinserver systemd-logind[987]: Removed session 1228.
Nov 14 22:24:01 meinserver systemd: pam_unix(systemd-user:session): session closed for user sshuser

Da finde ich die Aussage im Log (tailf /var/log/auth.log) schon mal komisch, erst "requirement not met" und dann aber accepted password.

Active directory funktioniert soweit, genauso SSH key auth.

Hat da jemand eine Idee dazu?
 
Hab ich so viel Glück und bin der Einzige mit dem Problem? :P
 
Hi ogghi,

mit PAM habe ich selber noch nicht so viel rumgebastelt, würde aber empfehlen sich intensiv mit der PAM-Dokumentation zu beschäftigen. Ich habe in Erinnerung, dass das alles nicht so selbsterklärend ist und man da schon genau wissen muss, was für Bereiche(account,auth,session,...) es gibt und wie die zusammen geschaltet sind(required,requisite,sufficient) und was das alles genau bedeutet.

Grüße,
hellfire
 

Ähnliche Themen

putty,SSL komme nach Serverneustart nicht mehr rein

sftp mit vsftpd und mysql

Mein Server versendet SPAM in Massen

Mysteriöser 11.4 Absturz - Maschine läuft, SSH und vor Ort Login unmöglich

X not starting anymore since filesystem was full

Zurück
Oben