PAM/LDAP : le ftp fonctionne mais pas le ssh

Sur une Mandrake 10, après avoir installé & configuré mon serveur OpenLDAP qui est désormais fonctionnel, je comptais l'utiliser pour l'authentification ftp & ssh.

Les deux utilisant PAM, je me suis donc lancé dans la configuration de PAM. Résultat, j'arrive à m'authentifier sur le serveur FTP (proftpd qui utilise PAM & non directement LDAP) mais pas sur le serveur SSHD qui pourtant passe normalement sur le même système.

Après moultes recherches, je viens ici quérir votre avis sur la source du soucis ou éventuellement une solution.
Vous trouverez ci-dessous des éléments qui, je l'espère, mettrons en évidence mon erreur.

La connexion ftp qui tranquillement passe :

$ ncftp ftp://willou@willou.net(...)

NcFTP 3.1.8 (Jul 10, 2004) by Mike Gleason (http://www.NcFTP.com/contact/(...)).

Connecting to 82.231.146.58...

ProFTPD 1.2.10 Server (Willou.Net) [82.231.146.58]

Logging in...

Password requested by 82.231.146.58 for user "willou".



    Password required for willou.



Password: ********



User willou logged in.

Logged in to willou.net.

Current remote directory is /home/willou.

ncftp /home/willou >

La connexion ssh qui ne veux pas :

$ ssh willou@willou.net

willou@willou.net's password:

Permission denied, please try again.

willou@willou.net's password:

Permission denied, please try again.

willou@willou.net's password:

Permission denied (publickey,password,keyboard-interactive)

Et pendant ce temps (à VeraCruz) voici les logs du système:

# strace -p <pid de sshd> -f -o ssh.log
le résultat : http://willou.net/sshd.log.html(...)

# tail -f /var/log/syslog
le résultat : http://willou.net/syslog.log.html(...)

Configuration :

# grep -v ^# /etc/pam.d/system-auth |grep -v ^$

#%PAM-1.0

auth            required        pam_env.so

auth            sufficient      pam_unix.so likeauth nullok

auth            sufficient      pam_ldap.so use_first_pass

auth            required        pam_deny.so



account         required        pam_unix.so

account         sufficient      pam_ldap.so



password        required        pam_cracklib.so retry=3 minlen=2  dcredit=0  ucredit=0

password        sufficient      pam_unix.so nullok use_authtok md5 shadow

password        sufficient      pam_ldap.so use_authtok

password        required        pam_deny.so



session         required        pam_mkhomedir.so skel=/etc/skel/ umask=0022

session         required        pam_limits.so

session         required        pam_unix.so

session         optional        pam_ldap.so

# grep -v ^# /etc/pam.d/sshd |grep -v ^$

auth       required     pam_listfile.so item=user sense=deny file=/etc/ssh/denyusers

auth       required     pam_stack.so service=system-auth

auth       required     pam_nologin.so



account    required     pam_stack.so service=system-auth



password   required     pam_stack.so service=system-auth



session    required     pam_stack.so service=system-auth

# grep -v ^# /etc/pam.d/ftp |grep -v ^$

auth       required     pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

auth       required     pam_stack.so service=system-auth



account    required     pam_stack.so service=system-auth



session    required     pam_stack.so service=system-auth

# grep -v ^# /etc/ldap.conf |grep -v ^$

BASE    o=willou,c=net

HOST    localhost

URI     ldap://localhost:389

BINDDN  uid=proxyuser,o=willou,c=net

BINDPW  secret

TLS_CACERT      /etc/ssl/openldap/ldap.pem

TLS_CACERTDIR   /etc/ssl/openldap

TLS_REQCERT     allow

pam_password ssha

nss_base_passwd        ou=people,o=willou,c=net?one

nss_base_shadow        ou=people,o=willou,c=net?one

nss_base_group         ou=group,o=willou,c=net?one

Merci encore pour tout.

# Conf de sshd

Posté par Pascal Terjan (site web personnel) le 27 janvier 2005 à 18:08. Évalué à 7.

Dans /etc/ssh/sshd_config :

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
- [^] # Re: Conf de sshd
  
  Posté par Willou (site web personnel) le 27 janvier 2005 à 18:40. Évalué à 2.
  
  Ca marche !
  
  Grand merci. Je n'aurais jamais pensé à cherche du coté de ssh convaincu que c'était au niveau de PAM.
  
  Merci encore.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# Conf de sshd

[^] # Re: Conf de sshd