Sziasztok,
LDAP felhasznalo bejelentkezesekor a kovetkezo jelenik meg a
/var/log/secure file-ban:
Nov 29 07:15:10 labserver sshd[21454]: Connection from xx.xx.xx.xx port 33882
Nov 29 07:15:11 labserver sshd[21454]: Failed publickey for userxx from xx.xx.xx.xx port 33882 ssh2
Nov 29 07:15:13 labserver sshd[21454]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx user=userxx
Nov 29 07:15:13 labserver sshd[21454]: Accepted password for userxx from xx.xx.xx.xx port 33882 ssh2
Nov 29 07:15:13 labserver sshd[21454]: pam_unix(sshd:session): session opened for user userxx by (uid=0)
Nov 29 07:15:22 labserver su: pam_unix(su-l:session): session opened for user root by userxx(uid=6000)
A bejelentkezes megtortenik - xx.xx.xx.xx-rol bejutok (ssh -l userxx labserver_IP) az LDAP kliensre es utana root-ba is valthatok at.
a userxx LDAP felhasznalo.
Mi hianyzik a "Failed publickey for userxx " kikuszobolesehez?
Koszi elore a segitseget.
Ardi
- 4250 megtekintés
Hozzászólások
Első körben arra tippelnék hirtelen, hogy az sshd elsőként publikus kulccsal próbálja a felhasználód azonosítani, aztán - mivel ez nem jön neki össze, lévén Te nem adtál neki ilyet - soron következő metódusként jön a keyboard-interactive, azaz amikor beírod a jelszavad.
/etc/lib/lu/plugins/lupi_bebasic
- A hozzászóláshoz be kell jelentkezni
Ertem.
Egyszeru azaz lokalis felhasznalo (cri) eseteben (xx.xx.xx.xx)-en levo ~/.ssh/id_dsa.pub kopirozasa az LDAP kliensre (=labserver) segit:
scp ~/.ssh/id_dsa.pub cri@labserver:
majd erre jelentkezve: ssh -l cri labserver
cd~
$ mkdir -p .ssh
$ chmod 700 .ssh
$ ls
id_dsa.pub
$ cat id_dsa.pub >> ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
$
ki+ujra -bejelentkezve nem ker jelszot --> bejelentkezes ok
/var/log/secure
Nov 29 10:22:57 labserver sshd[21870]: Connection from xx.xx.xx.xx port 34037
Nov 29 10:22:58 labserver sshd[21870]: Found matching DSA key: (kulcs torolve)
Nov 29 10:22:58 labserver sshd[21873]: Postponed publickey for cri from xx.xx.xx.xx port 34037 ssh2
Nov 29 10:22:58 labserver sshd[21870]: Found matching DSA key: (kulcs torolve)
Nov 29 10:22:58 labserver sshd[21870]: Accepted publickey for cri from xx.xx.xx.xx port 34037 ssh2
Nov 29 10:22:58 labserver sshd[21870]: pam_unix(sshd:session): session opened for user cri by (uid=0)
Nov 29 10:23:04 labserver su: pam_unix(su-l:session): session opened for user root by cri(uid=2000)
#
Tehat ez a resz megoldodott.
De hogy csinalom meg ezt LDAP user eseteben? Hova kopirozom a id_dsa.pub kulcsot?
Hol van az LDAP user home konyvtara, ahol .ssh konyvtarat hozhatok letre?
Vagy ez teljesen mashogy van?
amikor bejelentkezem LDAP userxx-kent, akkor /home/users konyvtarba kerulok es nem a /home/users/userxx konyvtarba, ahogy azt gondolnam. itt lehet a hiba?
olvastam meg valamit a pam_mkhomedir aktivalasarol is az /etc/pam.d koyvtar vmelyik fajljaban, de vhogy nem tudom osszehozni, hogy mukodjon.
Ardi
- A hozzászóláshoz be kell jelentkezni
Több éve csináltam ilyet, de akkor a következő volt:
- Ki kellett bővíteni az LDAP sémát
- Kellett egy külön program, ami fut az összes szerveren (splatd).
A kibővített ldap sémában volt egy külön mező a publikus kulcsnak. A splatd meg annyit csinált, hogy pollozta az ldap szerver(ek)et, és ha változás volt benne (új user / kulcs változás stb.) akkor létrehozta a home könyvtárat, azon belül meg a .ssh/authorized_keys -t.
Lehet, hogy azóta jobban összelőtték az ssh-t az ldap-pal, de nem hiszem.
- A hozzászóláshoz be kell jelentkezni
valami hasonlot talaltam en is a semabovitesre.
Koszi a tippeket.
ardi
- A hozzászóláshoz be kell jelentkezni
A másik megoldás (ami szerintem kevésbé hack, de nagyobb meló) hogy egy LDAP+Kerberos párost húzol fel. Ekkor nem publikus kulcsal, hanem kerberos tickettel tudsz átmenni az egyik gépről a másikra. A kerberos ticketet pedig az első gépre való belépésnél kapod meg, és elég sokáig érvényes lehet.
- A hozzászóláshoz be kell jelentkezni