AbcLinuxu:/ Poradna / Linuxová poradna / PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Štítky: BIND, DNS, error, hesla, heslo, chyba, Internet, konzole, LDAP, mc, PAM, password, přihlášení, správci souborů, SSH

Dotaz: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

23.10.2010 16:21 nick
PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Přečteno: 661×

Odpovědět | Admin

Zprovozňuji přihlašovaní s uživateli v LDAP databázi. NSS funguje správně. (K UID se přiřazuje uživatelské jméno a v mc se zobrazují uživatelé i skupiny v LDAP) PAM vypadá že také funguje, ale ve skutečnosti, při přihlášení z lokální konzole, přihlásí uživatele s libovolným heslem. (Stačí zadat existující login a jste úspěšně přihlášeni) Přes SSH všechno funguje korektně - bez správného hesla není uživatel vpuštěn.

/var/log/auth.log - SSH - špatné heslo (nevpustí)

Oct 23 15:53:43 oslinux sshd[2439]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=nick
Oct 23 15:53:43 oslinux sshd[2439]: pam_ldap: error trying to bind as user "cn=nick,cn=admins,ou=users,dc=test" (Invalid credentials)
Oct 23 15:53:45 oslinux sshd[2439]: Failed password for nick from 192.168.56.1 port 56678 ssh2

/var/log/auth.log - SSH - správné heslo (vpustí)

Oct 23 15:53:57 oslinux sshd[2441]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=nick
Oct 23 15:53:57 oslinux sshd[2441]: Accepted password for nick from 192.168.56.1 port 56679 ssh2
Oct 23 15:53:57 oslinux sshd[2441]: pam_unix(sshd:session): session opened for user nick by (uid=0)
Oct 23 15:54:00 oslinux sshd[2443]: Received disconnect from 192.168.56.1: 11: disconnected by user
Oct 23 15:54:00 oslinux sshd[2441]: pam_unix(sshd:session): session closed for user nick

/var/log/auth.log - Konzole - špatné heslo (vpustí) - Toto je to nežádoucí

Oct 23 15:54:10 oslinux login[2448]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=nick
Oct 23 15:54:10 oslinux login[2448]: pam_ldap: error trying to bind as user "cn=nick,cn=admins,ou=users,dc=test" (Invalid credentials)
Oct 23 15:54:10 oslinux login[2448]: pam_unix(login:session): session opened for user nick by LOGIN(uid=0)
Oct 23 15:54:12 oslinux login[2448]: pam_unix(login:session): session closed for user nick

/var/log/auth.log - Konzole - správné heslo (vpustí)

Oct 23 15:54:17 oslinux login[2460]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=nick
Oct 23 15:54:17 oslinux login[2460]: pam_unix(login:session): session opened for user nick by LOGIN(uid=0)
Oct 23 15:54:21 oslinux login[2460]: pam_unix(login:session): session closed for user nick

/etc/pam.d/login

auth       optional   pam_faildelay.so  delay=3000000
auth       [success=ok ignore=ignore user_unknown=ignore default=die]  pam_securetty.so
auth       requisite  pam_nologin.so
session       required   pam_env.so readenv=1
session       required   pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth       optional   pam_group.so
session    required   pam_limits.so
session    optional   pam_lastlog.so
session    optional   pam_motd.so
session    optional   pam_mail.so standard
@include common-account
@include common-session
@include common-password

Soubory common-* používá i /etc/pam.d/sshd, proto nepředpokládám že by v něm byla chyba.

Netušíte někdo proč by PAM pustil lokálně uživatele LDAP bez hesla? Díky

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

24.10.2010 11:55 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

V tom /etc/pam.d/login není vidět, jak se heslo ověřuje, to bude až v některém z těch common souborů. Možná máte nastavené sshd tak, že se PAM pro ověřování hesel vůbec nepoužívá (je to myslím výchozí nastavení).

24.10.2010 13:18 nick
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Příkládám tedy i další konfigurační soubory, ale sshd tyto common soubory určitě používá - includuje je také. Zaroveň dodávám že se jedná o distribuci Debian Lenny a děkuji za reakci.

/etc/pam.d/common-account

account sufficient      pam_unix.so
account sufficient      pam_ldap.so

/etc/pam.d/common-auth

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_ldap.so use_first_pass

/etc/pam.d/common-password

password   sufficient   pam_unix.so nullok obscure crypt
password   sufficient   pam_ldap.so nullok crypt

/etc/pam.d/common-session

session required        pam_unix.so
session optional        pam_ldap.so

/etc/pam.d/sshd (Originální z distribuce)

# PAM configuration for the Secure Shell service

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so
# Standard Un*x authorization.
@include common-account

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple

# Standard Un*x password updating.
@include common-password

/etc/pam.d/login viz. původní dotaz

Děkuji za vaši odpověď

24.10.2010 15:13 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Neměl by u auth být alespoň jeden modul required?

Jinak u sshd záleží na nastavení UsePAM v sshd_config, podívejte se, zda vaše sshd ověření hesel přes PAM vůbec používá.

24.10.2010 18:25 nick
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Ano, děkuji, toto vyřešilo můj problém. Nakonec funguje následující řešení:

/etc/pam.d/common-auth

auth    sufficient      pam_unix.so nullok_secure
auth    required        pam_ldap.so use_first_pass

Je důležité, aby byl poslední auth modul required a všechny předchozí sufficient.

Pokud je totiž modul sufficient, a ověření selže, pokračuje se k dalším modulům.

Pokud je modul required a ověření selže, je uživateli přístup odepřen.

Proto když jsem všechny moduly sufficient, byl uživatel přihlášen, přestože ani jeden modul uživatele úspěšně neověřil.

Ještě jednou děkuji

24.10.2010 12:56 jmeno
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Ukazes nam /etc/nsswitch.conf ?

24.10.2010 13:25 nick
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Samozřejmě, ale předpokládám že NSS pracuje správně - UID/Login se z LDAP přiřazují a pomocí su s mohu bez problému na uživatele přihlásit. Přes SSH se ale mohou uživatelé v pořádku přihlásit a pracovat - pouze lokálně se na ně může přihlásit kdokoli bez hesla.

/etc/nsswitch.conf

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

24.10.2010 13:40 nick
Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

Ještě jsem si uvědomil že by mohl být chyba v následujícím konfiguračním soubory, kde se nastavuje LDAP modul PAMu.

/etc/pam_ldap.conf

###DEBCONF###
# the configuration of this file will be done by debconf as long as the
# first line of the file says '###DEBCONF###'
#
# you should use dpkg-reconfigure to configure this file
#
# @(#)$Id: pam_ldap.conf,v 1.38 2006/05/15 08:13:31 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a 
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 192.168.56.101

# The distinguished name of the search base.
base dc=test

# Another way to specify your LDAP server is to provide an
uri ldap://192.168.56.101
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap://127.0.0.1/
#uri ldaps://127.0.0.1/   
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=system,cn=admins,ou=users,dc=test

# The credentials to bind with. 
# Optional: default is no credential.
bindpw heslo

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/pam_ldap.secret (mode 600)
#rootbinddn cn=system,cn=admins,ou=users,dc=test

# The port.
# Optional: default is 389.
#port 389

# The search scope.
#scope sub
#scope one
#scope base

# Search timelimit
#timelimit 30

# Bind/connect timelimit
#bind_timelimit 30

# Reconnect policy: hard (default) will retry connecting to
# the software with exponential backoff, soft will fail
# immediately.
bind_policy soft

# Idle timelimit; client will close connections
# (nss_ldap only) if the server has not been contacted
# for the number of seconds specified below.
#idle_timelimit 3600

# Filter to AND with uid=%s
pam_filter objectclass=posixAccount

# The user ID attribute (defaults to uid)
pam_login_attribute cn

# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes

# Check the 'host' attribute for access control
# Default is no; if set to yes, and user has no
# value for the host attribute, and pam_ldap is
# configured for account management (authorization)
# then the user will not be allowed to login.
#pam_check_host_attr yes

# Check the 'authorizedService' attribute for access
# control
# Default is no; if set to yes, and the user has no
# value for the authorizedService attribute, and
# pam_ldap is configured for account management
# (authorization) then the user will not be allowed
# to login.
#pam_check_service_attr yes

# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com

# Group member attribute
#pam_member_attribute uniquemember

# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0

# Template login attribute, default template user
# (can be overriden by value of former attribute
# in user's entry)
#pam_login_attribute userPrincipalName
#pam_template_login_attribute uid
#pam_template_login nobody

# HEADS UP: the pam_crypt, pam_nds_passwd,
# and pam_ad_passwd options are no
# longer supported.
#
# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password clear

# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service. 
pam_password crypt

# Remove old password first, then update in
# cleartext. Necessary for use with Novell
# Directory Services (NDS)
#pam_password clear_remove_old
#pam_password nds

# RACF is an alias for the above. For use with
# IBM RACF
#pam_password racf

# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
#pam_password ad

# Use the OpenLDAP password change
# extended operation to update the password.
#pam_password exop

# Redirect users to a URL or somesuch on password
# changes.
#pam_password_prohibit_message Please visit http://internal to change your password.

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX		base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd	ou=People,
# to append the default base DN but this
# may incur a small performance impact.
#nss_base_passwd	ou=People,dc=padl,dc=com?one
#nss_base_shadow	ou=People,dc=padl,dc=com?one
#nss_base_group		ou=Group,dc=padl,dc=com?one
#nss_base_hosts		ou=Hosts,dc=padl,dc=com?one
#nss_base_services	ou=Services,dc=padl,dc=com?one
#nss_base_networks	ou=Networks,dc=padl,dc=com?one
#nss_base_protocols	ou=Protocols,dc=padl,dc=com?one
#nss_base_rpc		ou=Rpc,dc=padl,dc=com?one
#nss_base_ethers	ou=Ethers,dc=padl,dc=com?one
#nss_base_netmasks	ou=Networks,dc=padl,dc=com?ne
#nss_base_bootparams	ou=Ethers,dc=padl,dc=com?one
#nss_base_aliases	ou=Aliases,dc=padl,dc=com?one
#nss_base_netgroup	ou=Netgroup,dc=padl,dc=com?one

# attribute/objectclass mapping
# Syntax:
#nss_map_attribute	rfc2307attribute	mapped_attribute
#nss_map_objectclass	rfc2307objectclass	mapped_objectclass

# configure --enable-nds is no longer supported.
# NDS mappings
#nss_map_attribute uniqueMember member

# Services for UNIX 3.5 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount User
#nss_map_attribute uid msSFU30Name
#nss_map_attribute uniqueMember msSFU30PosixMember
#nss_map_attribute userPassword msSFU30Password
#nss_map_attribute homeDirectory msSFU30HomeDirectory
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFU30Name
#pam_filter objectclass=User
#pam_password ad

# configure --enable-mssfu-schema is no longer supported.
# Services for UNIX 2.0 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid msSFUName
#nss_map_attribute uniqueMember posixMember
#nss_map_attribute userPassword msSFUPassword
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup Group
#nss_map_attribute cn msSFUName
#pam_login_attribute msSFUName
#pam_filter objectclass=User
#pam_password ad

# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad

# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword

# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
#pam_password clear

# Netscape SDK LDAPS
#ssl on

# Netscape SDK SSL options
#sslpath /etc/ssl/certs

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
#ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is to use libldap's default behavior, which can be configured in
# /etc/openldap/pam_ldap.conf using the TLS_REQCERT setting.  The default for
# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
#tls_checkpeer yes

# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
#tls_cacertfile /etc/ssl/ca.cert
#tls_cacertdir /etc/ssl/certs

# Seed the PRNG if /dev/urandom is not provided
#tls_randfile /var/run/egd-pool

# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1

# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key

# Disable SASL security layers. This is needed for AD.
#sasl_secprops maxssf=0

# Override the default Kerberos ticket cache location.
#krb5_ccname FILE:/etc/.ldapcache

# SASL mechanism for PAM authentication - use is experimental
# at present and does not support password policy control
#pam_sasl_mech DIGEST-MD5

Založit nové vlákno • Nahoru

Tiskni Sdílej: