[Comm] google-authenticator в p6

[Sergey Vlasov]

On Fri, Oct 04, 2013 at 01:24:22AM +0400, Boris Gulay wrote:
> Так как ответа не последовало, а я всё-таки настроил, то отвечу сам
> себе, для архива рассылки.
> 
> Итак, проблема в том, что модуль pam_userpass не хочет нормально
> работать в паре с гуглом. Если просто добавить гугл в pam.d/sshd, то
> независимо от порядка следования модулей, будет выводится только запрос
> на одноразовый пароль и всегда будет access denied.

Это вполне ожидаемо, поскольку модуль pam_userpass на самом деле
предназначен для использования в случае, когда протокол обмена
предусматривает явные поля username и password; то, что он ломает
аутентификацию, если стек PAM запрашивает ещё что-то, так и задумывалось
(без pam_userpass приложение могло бы отправить в PAM имя или пароль в
ответ на совсем другие запросы, поскольку при обработке запроса от PAM у
приложения нет информации о том, что запрашивается именно имя пользователя
или пароль - только текстовая строка, возможно, переведённая на какой-то
язык, и флаг скрытия вводимых символов, по которому обычно и определяют
запрос пароля в подобных случаях).

Т.е., если нужна только простая проверка имени и пароля, при использовании
пакета openssh от ALT будет работать конфигурация с использованием
pam_userpass в /etc/pam.d/sshd и настройками в sshd_config:

  PasswordAuthentication yes
  ChallengeResponseAuthentication no

(кстати, если удалить только pam_userpass, это работать перестанет,
поскольку патч для поддержки pam_userpass удаляет из кода поддержку
передачи пароля в ответ на запрос PAM_PROMPT_ECHO_OFF).

Если же просто имени и пароля пользователя недостаточно,
PasswordAuthentication уже не годится, поэтому нужно включить
ChallengeResponseAuthentication, но в коде для этого метода нет и не может
быть поддержки pam_userpass, поэтому необходимо убрать pam_userpass из
/etc/pam.d/sshd и установить в sshd_config следующие параметры:

  PasswordAuthentication no
  ChallengeResponseAuthentication yes

> Однако, не смотря на название, userpass не проверяет логин/пароль, он
> просто запрашивает их и сохраняет внутри стека pam. А проверяет их
> pam_tcb (http://docs.altlinux.org/manpages/pam_tcb.8.html), причём он и
> сам умеет запрашивать пароль!
> 
> Решение очень простое - выкидываем userpass, вставляем на его место tcb
> без параметра use_first_pass. Мой рабочий конфиг sshd выглядит так:
> 
> #auth       required    pam_userpass.so
> auth        required    pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
> auth        required    pam_google_authenticator.so echo_verification_code
> #auth       include     common-login-use_first_pass
> 
> Весь остальной стек для auth я выкинул, ибо там был тот же tcb (откуда я
> и взял соответствующую строку) и всякий ldap, который мне не нужен.

Вообще-то в common-login-use_first_pass лежал ещё pam_nologin.
Теоретически c ChallengeResponseAuthentication должна работать такая
конфигурация:

auth		include		common-login
auth		required	pam_google_authenticator.so echo_verification_code

(если pam_google_authenticator требуется использовать только для входа
через SSH, а при прочих методах входа проверять не требуется).
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 190 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20131004/a97285a0/attachment.bin>