PAM - freeIPA - local userek nem mukodnek

 ( GergA84 | 2019. augusztus 6., kedd - 15:56 )

Sziasztok,
Probalnam a pam konfigot ugy osszefaragni hogy tudjak FreeIPA-val authentikalni, Local userekkel belepni es meg pci-dss requirementeknek is megfeleljen. DE sajnos mindig kett ami osszejon.
Az alabbi konfiggal megy a freeipa es pci-dss kompatibilis is.
Sajnos viszont a helyi userekkel nem tudok belepni. Mi lehet a baj? Jelenleg ennel a password-auth-nal tartok de mindjart szetverem a gepet :-)

auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth [default=1 ignore=ignore success=ok] pam_localuser.so

auth required pam_faillock.so preauth silent deny=6 unlock_time=1800 fail_interval=900
auth sufficient pam_sss.so forward_pass
auth [default=die] pam_faillock.so authfail deny=6 unlock_time=1800 fail_interval=900

auth required pam_faillock.so preauth silent deny=6 unlock_time=1800 fail_interval=900
auth sufficient pam_unix.so try_first_pass
auth [default=die] pam_faillock.so authfail deny=6 unlock_time=1800 fail_interval=900
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so

account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=4
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_oddjob_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Alapbol a system userek vannak 1000 alatt, az interaktiv userek 1000-tol jonnek. Szoval a pam_localuser-t nem kene atugrani a harmadik sorban, es a pam_localuser-nek sem kene a kovetkezo modult atugrania (default=1), de ettol ez a resz meg mukodik.
Ami viszont tutira gond, hogy utana rossz a pam_faillock... hasznalata, mem kellett volna duplikalni a faillock-os reszt, mert igy minden nem sss-bol jovo usert leblokkol. Eloszor legyen a faillock preauth - utana jojjenek sufficient-kent a pam_sss es pam_unix modulok (itt lehet localuser-rel optimalizalni, hogy oket ne probalja az sssd authentikalni, de ezt annak a konfigjaban is el lehet erni), es ha eddig nem volt sikeres authentikacio, akkor johet a faillock authfail.

A pam.faillock sajnos csak ebben a formaban elfogadhato de legalabb mukodik.
A pci-dss audit script azt nezi, hogy a pam_unix.so sor elott es utana kozvetlenul legyen faillock.
(ugy tunik nem nagyon szamolnak mas auth-tal)

auth required pam_faillock.so preauth silent deny=6 unlock_time=1800 fail_interval=900
auth sufficient pam_sss.so forward_pass

auth required pam_faillock.so preauth silent deny=6 unlock_time=1800 fail_interval=900
auth sufficient pam_unix.so try_first_pass
auth [default=die] pam_faillock.so authfail deny=6 unlock_time=1800 fail_interval=900

Aha, az auditok mar csak ilyen erdekes feltetelezesekkel elnek... A mostani konfigoddal az a baj, hogy az sssd-s hibas authentikaciot nem fogod meg a faillock modullal. Mas kerdes, hogy ezt az authentikacios hibat a tuloldalon illik buntetni. Azzal meg probalkozhatsz, hogy visszarakod az faillock-ot az sss moge, de az sss-ben nem talalt felhasznalok eseteben elugrasz direktben a pam_unix modulra, ha ket pam_faillock jon a pam_sss utan, akkor az
auth sufficient [user_unknown=2] pam_sss.so forward_pass
elvileg ezt csinalja, felteve, hogy az sss jelzi, hogy nem talalta meg a felhasznalot. Ha ez nem mukodik, akkor pedig a komplett pam_sss-es blokkot ugord at a pam_localuser hasznalataval.

"A mostani konfigoddal az a baj, hogy az sssd-s hibas authentikaciot nem fogod meg a faillock modullal"
Ezt hogy erted.

Kiprobaltam es ha hibas a freeipa jelszo akkor nem enged be.

Jahogy automatikusan raprobaljon?

Biztos hogy itt a mumus? /etc/nsswtich.conf -ban mi van. passwd pl files akármi?