nixp.ru v3.0

25 мая 2017,
четверг,
00:32:20 MSK

DevOps с компанией «Флант»
kosm написал 15 июня 2005 года в 14:11 (714 просмотра) Ведет себя неопределенно; открыл 3 темы в форуме, оставил 6 комментариев на сайте.

Всем доброго времени суток.

Подскажите плиз, как включить аутентификацию у SSH через PAM?

Система FreeBSD 5.3, sshd родной.

В sshd_config выставлено:

--

ChallengeResponseAuthentication yes

PasswordAuthentication no

UsePAM yes

--

В /etc/pam.d/sshd

--

#

# $FreeBSD: src/etc/pam.d/sshd,v 1.15 2003/04/30 21:57:54 markm Exp $

#

# PAM configuration for the «sshd» service

#

# auth

auth            required        pam_nologin.so          no_warn

auth            sufficient      pam_opie.so             no_warn no_fake_prompts

auth            requisite       pam_opieaccess.so       no_warn allow_local

#auth           sufficient      pam_krb5.so             no_warn try_first_pass

#auth           sufficient      pam_ssh.so              no_warn try_first_pass

auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass

auth            required        pam_unix.so             no_warn try_first_pass

# account

#account        required        pam_krb5.so

account         required        pam_login_access.so

account         sufficient      /usr/local/lib/pam_ldap.so

account         required        pam_unix.so

# session

#session        optional        pam_ssh.so

session         required        pam_permit.so

# password

#password       sufficient      pam_krb5.so             no_warn try_first_pass

password        sufficient      /usr/local/lib/pam_ldap.so

password        required        pam_unix.so             no_warn try_first_pass

Как собран sshd — не знаю. Как проверить и включить поддержку PAM?

Заранее благодарен за ответ.

С уважением,

Константин

Crimson

За BSD не скажу — не знаю. А в Linux’е проверить с чем слинкована прога можно ldd. Если в BSD такой утилиты нет, то наверняка есть аналог. Напускаешь на свой sshd и смотришь в вывод:

# ldd /usr/sbin/sshd
        libwrap.so.0 => /usr/lib/libwrap.so.0 (0x4002b000)
        libpam.so.0 => /lib/libpam.so.0 (0x40035000)
        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        libdl.so.2 => /lib/libdl.so.2 (0x4003d000)

Если присутствует libpam — все оки-доки. Остается подцепить pam-модуль, через который будешь авторизироваться. У меня добавлена авторизация через winbind:

#%PAM-1.0
auth       sufficient   /lib/security/pam_winbind.so
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_limits.so
session    optional     /lib/security/pam_console.so
kosm

Понял, спасибо. Проверил — собрано с pam. После этого понял в чем дело. Вернее понял где собака порылась, но не понял как быть.

В общем я пробовал конектиться к sshd ShellGuard’ом, а он как оказалось не поддерживает метод аутентификации keyboard interactiv, что для PAM принципиально на сколько я понял. Судя по статьям в инете понял что была какая-то дырка на эту тему, которую залатали в новых версиях sshd, и изза этого теперь нужен этот пресловутый keyboard interactiv. Его поддерживают SecureCRT и SSH Tectia Client, с помощью которых мне и удалось подключиться к sshd. Всебы хорошо, но эти клиенты ломают псевдографику и не отображают кириллицу. Если со вторым можно в принципе разобраться и оно особо не напрягает, то первое нужно однозначно — нравится мне deco, и невозможность его использования меня расстраивает. Отсюда видится два выхода — первое найти или разобраться с этими клиентами на предмет псевдографики. Может кто знает хороший консольных виндовый клиент, который бы поддерживал keyboard interactiv? Второй выход разбираться с сервером sshd — возможно его все таки можно заставить работать стандартным методом.

Может мне кто нибудь посоветовать что делать?

Заранее благодарен.

С уважением,

Константин