AbcLinuxu:/ Poradna / Unixová poradna / FreeBSD - SSH ověřování proti LDAP

Štítky: BIND, BSD, cat, DNS, error, FreeBSD, Internet, LDAP, passwd, password, problém, server, SSH, switch, test

Dotaz: FreeBSD - SSH ověřování proti LDAP

14.10.2010 08:27 Pheek | skóre: 24 | blog: io
FreeBSD - SSH ověřování proti LDAP

Přečteno: 789×

Odpovědět | Admin

Dobrý den, mám problém s ověřování SSH proti LDAP. Mám rozjetý LDAP server, pomocí něho bych rád ověřoval uživatele které vpustím do systému pomocí SSH. Když zadám getent passwd tak vidím uživatele bez problému. V ssh mám nastaveno

DenyUsers all
AllowUsers ttest

Uživatel ttest je jen součástí LDAP serveru a není jako uživatel přidaný pomocí adduser.

cat /etc/nsswitch.conf 
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
#group: compat
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: compat
passwd: files ldap
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

cat /etc/pam.d/sshd 
# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_ldap.so
#auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_ldap.so
#account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         sufficient      pam_ldap.so
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_ldap.so
#password        required        pam_unix.so             no_warn try_first_pass

Mohl by mi prosím někdo pomoci? Tady je error log.

sshd[81597]: pam_ldap: error trying to bind as user "cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com" (Invalid credentials)
sshd[81595]: error: PAM: authentication error for illegal user ttest from 1.2.3.4

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

14.10.2010 08:52 kraken
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Nazdar bazar

a dokazes sa pomocou CLI ldap klienta prihlasit ako ttest to LDAP servra? Funguje Ti spojenie aspon takto? Ak ano mas zle nastaveny pam_ldap (/usr/local/etc/ldap.conf), ak nie tak nemas spravne nakonfigurovany OpenLDAP server.

Odporucam elevovat uroven logovania na maximum a pozerat co sa tam deje.

14.10.2010 09:31 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ano, jako uživatel ttest se k LDAP připojím pomocí ldapsearch. Takže v LDAP problém nebude. V /usr/local/etc/ldap.conf mám toto:

cat /usr/local/etc/ldap.conf
uri ldap://192.168.1.1/
base ou=People,dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one

14.10.2010 10:26 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Je /usr/local/etc/ldap.conf ten správný soubor? V předchozím výpisu je cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com, což tomuhle výpisu neodpovídá.

14.10.2010 10:55 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ano je, co se vám v tom nezdá? ttest je jen uživatel který je v LDAP serveru a snažím se pomocí něho přihlásit.

14.10.2010 11:12 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Při restartu slapd mám v logu ještě tuto hlášku

nss_ldap: could not search LDAP server - Server is unavailable

nevím zda mi to může ovlivňovat funkčnost.

14.10.2010 11:18 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

No v tom výpisu je vidět, že sshd pokoušelo přihlásit jako uživatel „cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com“, přičemž z žádného vámi předloženého konfiguráku neplyne, proč zvolil zrovna tyhle přihlašovací údaje. Jako logické mi tedy připadá to, že ve skutečnosti sshd použil jiný konfigurák. Což by nebylo zrovna u přihlašování přes LDAP nic divného, protože tam bývá několik souborů ldap.conf, a každý konfiguruje něco jiného (PAM, NSS, řádkového klienta OpenLDAP…).

14.10.2010 11:39 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Tyto informace jsou v pořádku, jsou součásti LDAP serveru. Ale i tak jsem do ldap.conf přidal toto:

pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid

Ale i tak to nefunguje a nepřihlásím se. uid je ttest tohoto účtu.

14.10.2010 11:41 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ještě jedna věc. Pokud vemu Ubuntu a nastavím tam co na freebsd tak se bez problému připojím a vše funguje jak má, ale na freebsd ne.

14.10.2010 11:56 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Jak mohou být v pořádku? To jsou přihlašovací údaje, které používá klient, který před přihlášením k serveru nemůže ze serveru žádné informace získat. Navíc v tom výpisu z logu je napsáno, že jsou to neplatné přihlašovací údaje. Spíš mi to připadá, že to, o čem si myslíte, že je to konfigurace LDAP serveru, je ve skutečnosti konfigurace pro PAM. Jak vypadá vaše konfigurace LDAPu v PAM a jak v NSS?

14.10.2010 12:05 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

cat /usr/local/etc/ldap.conf
uri ldap://192.168.1.1/
#base ou=People,dc=test,dc=com
#base dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one

nss_ldap.conf mám totožné s ldap.conf

cat /usr/local/etc/nss_ldap.conf
uri ldap://192.168.1.1/
#base ou=People,dc=test,dc=com
#base dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one

Jak mohu vypsat jen jedno konkrétní uid abych ho mohl sem přidat. Pokoušel jsem se pomoci

ldapsearch -x -b 'uid=ttest,ou=People,dc=test,dc=com'

ale to mi nic nevypsalo. Moc děkuji za pomoc.

14.10.2010 12:11 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Jak jsem psal výše, tak na linuxu (Ubuntu, OpenSuSE) mi to funguje bez problému. Ověřuji se proti LDAP serveru a pomocí ssh se přihlásím. A na FreeBSD ne.

14.10.2010 12:19 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

jo a pokud dám na tom serveru který chci ať mě ověřuje pomocí ldap getent passwd tak dostanu seznam všech uživatelů v LDAP.

14.10.2010 12:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

To ldapsearch nic nenalezlo, nebo to jen záznam nevypsalo? Připojení z Linuxu znamená, že tam máte SSH server, který se autorizuje proti stejnému LDAPu, nebo že se pokoušíte na to SSH na FreeBSD připojit z linuxového klienta, a funguje to, a když totéž zkusíte z FreeBSD klienta, přihlášení je odmítnuto?

14.10.2010 12:49 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Takto ldapsearch něco našel:

# ldapsearch -x -b '**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com'
# extended LDIF
#
# LDAPv3
# base <**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# Test Test, Operations, HQ, People, test.com
dn: **=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
loginShell: /bin/bash
gidNumber: 5001
uid: ttest
**: Test Test
uidNumber: 10013
sn: Test
givenName: Test
homeDirectory: /home/ttest
userPassword:: e1NIQX1hcVFHSnFtajRhbEx1NjZrakpKd0ppZlpsbkU

cn jsem musel ve výpisu nahradit pomocí **. Pokud nastavím ldap.conf a nss_ldap.conf na linuxu, tak to bez problému funguje. To znamená že mě mašina na které je linux a nastavené ověřování proti LDAP(freebsd) funguje. Ale pokud chci proti stejnému LDAP(FreeBSD) ověřovat jiný FreeBSD stroj(na kterém shodou okolností jede LDAP server který mě ověřuje, tak to nefunguje. To je ten samej LDAP který mě ověřuje v pořádku na linuxové mašině.

14.10.2010 13:30 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

ldapsearch -x -b 'ou=People,dc=test,dc=com' '(uid=ttest)' předpokládám toho uživatele také najde. Pokud můžete manipulovat s tím LDAP serverem, zkusil bych jej spustit s vyšší úrovní logování – od nějaké úrovně loguje i přihlášení a dotazy, takže uvidíte, jak se SSH přihlašuje a případně co se pokouší hledat.

14.10.2010 13:44 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ano takto mi to najde uživatele ttest taky. Zvýšil jsem úroveň logování ale do logu se nepřidává nic víc než jen to co jsem napsal výše. Vůbec nechápu proč linux funguje normálně ale freebsd ne. Nevím co dělám špatně.

14.10.2010 14:18 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ten server je OpenLDAP? Určitě mi to fungovalo, že od určité úrovně logování (nebo při spuštění na popředí do konzole?) mi to vypisovalo dotazy.

Když se zkusíte pod daným uživatelem do LDAPu přihlásit z příkazového řádku, tak vám to funguje?

ldapsearch -x -W -D 'cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' -b 'ou=People,dc=test,dc=com' '(uid=ttest)'

14.10.2010 14:24 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Ano je to OpenLDAP server. Pomocí toho co jste sem uvedl se bez problému přihlásím. LDAP server jede bez problému.

14.10.2010 14:33 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Když nastavíte loglevel na -1, mělo by se logovat vše, v tom musí být i dotazy a hesla… Případně můžete zkusit i zvýšit úroveň logování sshd, ale tam podle mne moc informací nebude (i když dn by tam být mohlo).

14.10.2010 17:28 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Příloha:

debug.log (13699 bytů)

Přikládám kus logu. Nenašel jsem tam nic co by bylo nenormální.

14.10.2010 18:47 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

To vypada jako log z toho vyhledavani, nikde tam ale nevidim pokus o prihlaseni jako ttest, ktery by melo provest to ssh. Opravdu se ssh pokousi autorizovat proti tomuhle serveru?

14.10.2010 21:08 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Příloha:

debug.txt (78589 bytů)

Ano je to tento server. Přikládám tedy vše co mi vypsal do logu při logování -1. Vůbec netuším kde je zakopaný pes.

15.10.2010 08:13 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Zjistil jsem zajímavou věc. Pokud se na server pomocí ssh připojím pomocí roota a potom zadám su ttest tak se mi to připojí, samozřejmě bez hesla, jelikož jsem root. Takže nějaká část toho funguje. Takže na LDAP server ta mašina vidí. Problém tuším někde v pam.d , ověřování uživatelů atd.

15.10.2010 08:25 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Tak jsem nastavil /etc/pam.d/passwd na:

# password
#password    requisite    pam_passwdqc.so        enforce=users
###password    required    pam_unix.so        no_warn try_first_pass nullok
password    required    pam_ldap.so

a su na:

#
# System-wide defaults
#

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      pam_ldap.so
auth            required        pam_unix.so             no_warn try_first_pass nullok

# account
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         sufficient      pam_ldap.so
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         required        pam_ldap.so
session         required        pam_lastlog.so          no_fail

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

a pokud se přihlásím běžným uživatelem na server a potom zadám su ttest tak to po mě chce heslo, pokud zadám špatné tak se nepřihlásím ale pokud zadám správné tak se bez problému přihlásím. Což mě utvrdilo že je špatně nastavený /etc/pam.d/ssh. Podotýkám že uživatel v systému neexistuje, je jen v LDAP.

15.10.2010 08:39 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Tak už mi to funguje, problém byl opravdu v /etc/pam.d/ Moc děkuji za pomoc vše zůčasněným.

15.10.2010 09:48 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP

Při přihlášení jako root se v sshd ověřuje uživatel proti /etc/passwd (kde jsou informace o rootovi, smazat roota z /etc/passwd a dát jej do LDAPu bych hodnotil jako velmi odvážný pokus). Při následném su se pak použije konfigurační soubor PAMu pro su, nikoli pro sshd – a jak už jste pravděpodobně zjistil, máte mezi nimi nějaký rozdíl.

Založit nové vlákno • Nahoru

Tiskni Sdílej: