ssh + pam + radius

Miroslav Prýmek m.prymek at gmail.com
Tue Jul 13 08:33:36 CEST 2010

Previous message: ssh + pam + radius
Next message: ssh + pam + radius
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zdravim,

s radiusem zkusenosti nemam, takze mozna reknu blbost :)

Pokud mas v PAM pam_unix jako "required", tak imho prihlaseni musi selhat pokud
uzivatel radek neexistuje v passwd (man pam_unix). Takze jako prvni vec bych overil:
# getent passwd radek

Ten vypis sshd mi pripada, ze si existenci passwd zaznamu dokonce kontroluje sam sshd, takze
mozna PAM na to ani nema vliv...

Zakladani homu pri prihlaseni se tady uz resilo. Mj. existuje cosi, co se jmenuje
pam_mkhomedir, ale jestli to funguje na FBSD, to nevim. Navic mi to prijde
jako dost divne reseni, protoze kdyz uz se uzivatel prihlasuje na vic stroju,
bylo by imho logictejsi sdileni homu mezi nimi (NFS apod.), jinak bude mit
ruzne homy rozesete po ruznych strojich, coz mi neprijde prakticke.

Moc jsem asi nepomohl :)

M.


On 12.7.2010, at 13:48, Radek Krejča wrote:

> 
> 4. /etc/pam.d/sshd
> -----------------------------------------------------------------------------------
> # auth
> auth            sufficient      pam_opie.so             no_warn no_fake_prompts
> auth            requisite       pam_opieaccess.so       no_warn allow_local
> #auth           sufficient      pam_krb5.so             no_warn try_first_pass
> #auth           sufficient      pam_ssh.so              no_warn try_first_pass
> auth            required        pam_unix.so             no_warn try_first_pass
> auth            required        pam_radius.so           no_warn try_first_pass
> 
> # account
> account         required        pam_nologin.so
> #account        required        pam_krb5.so
> account         required        pam_login_access.so
> account         required        pam_unix.so
> account         required        pam_radius.so
> 
> # session
> #session        optional        pam_ssh.so
> session         required        pam_permit.so
> 
> # password
> #password       sufficient      pam_krb5.so             no_warn try_first_pass
> password        required        pam_unix.so             no_warn try_first_pass
> password        required        pam_radius.so           no_warn try_first_pass
> -----------------------------------------------------------------------------------
> 
> 5. restartovano sshd
> 6. jakykoliv pokus o prihlaseni na uzivatele radek konci timto:
> Jul 12 13:18:13 pokus sshd[1070]: Invalid user radek from 127.0.0.1
> Jul 12 13:18:15 pokus sshd[1070]: error: PAM: authentication error for illegal user radek from localhost
> Jul 12 13:18:15 pokus sshd[1070]: Failed keyboard-interactive/pam for invalid user radek from 127.0.0.1 port 59100 ssh2
> 
> 
> Jeste tedy znovu muj pozadavek, potrebuji, aby v pripade, ze uzivatel neni zaveden v systemu, tak se "zalozil", alespon tak, aby se prihlasil a mohl pracovat. Dale potrebuji na radiusu nejak odlisit uzivatele, kteri se mohou hlasit do bsd od tech, ktere tam jiz jsou.
> 
> Diky
> Radek
> -- 
> FreeBSD mailing list (users-l na freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l

Previous message: ssh + pam + radius
Next message: ssh + pam + radius
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list