[Comm] google-authenticator в p6

Boris Gulay boris на boressoft.ru
Пт Окт 4 01:24:22 MSK 2013 

Так как ответа не последовало, а я всё-таки настроил, то отвечу сам
себе, для архива рассылки.

Итак, проблема в том, что модуль pam_userpass не хочет нормально
работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то
независимо от порядка следования модулей, будет выводится только запрос
на одноразовый пароль и всегда будет access denied.

Однако, не смотря на название, userpass не проверяет логин/пароль, он
просто запрашивает их и сохраняет внутри стека pam. А проверяет их
pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и
сам умеет запрашивать пароль!

Решение очень простое - выкидываем userpass, вставляем на его место tcb
без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так:

#auth       required    pam_userpass.so
auth        required    pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth        required    pam_google_authenticator.so echo_verification_code
#auth       include     common-login-use_first_pass

Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я
и взял соответствующую строку) и всякий ldap, который мне не нужен.

Порядок следования модулей важен, при таком как у меня сначала
запрашивается пароль, затем всегда одноразовый код. Так невозможно
понять, что именно неверно, что хорошо для безопастности. Если хотите,
чтобы авторизация обламывалась сразу, замените required на requisite у
pam_tcb.

PS: Может это на вики?

10.09.2013 19:53, Boris Gulay пишет:
> 09.09.2013 22:29, Boris Gulay пишет:
>> Хочу включить себе такую штуку как google-authenticator. У меня p6.
>>
>> Взял пакет из сизифа, собрал у себя в хешере. Собралось нормально, без
>> ошибок. Настроил всё как написано (например, здесь
>> http://habrahabr.ru/post/133481/). В конфиге SSH "PasswordAuthentication
>> yes", "ChallengeResponseAuthentication yes". Тестовая программа (demo.c)
>> отрабатывает нормально, при входе код запрашивается.
>>
>> Однако, код всегда неверный. При этом в лог сыпятся сообщения " error:
>> PAM: Application needs to call libpam again for [USER] from [IP]"
> Добавлю:
> Если оставить в файле конфигурации PAM только google, то работает
> нормально (запрашивает логин, затем код). Если добавить pam_userpass.so,
> то начинает бесконечно спрашивать код и говорить access denied. Такое
> ощущение, что есть проблема с запросом пароля и userpass постоянно
> сбрасывает процесс авторизации.
> 
>>
>> Вопрос: что я делаю не так?
>>
>>
>>
>> _______________________________________________
>> community mailing list
>> community на lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/community
>>
> 
> 
> 
> 
> _______________________________________________
> community mailing list
> community на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
> 


----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 261 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20131004/31df6659/attachment.bin>

Подробная информация о списке рассылки community