Les deux utilisant PAM, je me suis donc lancé dans la configuration de PAM. Résultat, j'arrive à m'authentifier sur le serveur FTP (proftpd qui utilise PAM & non directement LDAP) mais pas sur le serveur SSHD qui pourtant passe normalement sur le même système.
Après moultes recherches, je viens ici quérir votre avis sur la source du soucis ou éventuellement une solution.
Vous trouverez ci-dessous des éléments qui, je l'espère, mettrons en évidence mon erreur.
La connexion ftp qui tranquillement passe :
$ ncftp ftp://willou@willou.net(...)
NcFTP 3.1.8 (Jul 10, 2004) by Mike Gleason (http://www.NcFTP.com/contact/(...)).
Connecting to 82.231.146.58...
ProFTPD 1.2.10 Server (Willou.Net) [82.231.146.58]
Logging in...
Password requested by 82.231.146.58 for user "willou".
Password required for willou.
Password: ********
User willou logged in.
Logged in to willou.net.
Current remote directory is /home/willou.
ncftp /home/willou >
La connexion ssh qui ne veux pas :
$ ssh willou@willou.net
willou@willou.net's password:
Permission denied, please try again.
willou@willou.net's password:
Permission denied, please try again.
willou@willou.net's password:
Permission denied (publickey,password,keyboard-interactive)
Et pendant ce temps (à VeraCruz) voici les logs du système:
# strace -p <pid de sshd> -f -o ssh.log
le résultat : http://willou.net/sshd.log.html(...)
# tail -f /var/log/syslog
le résultat : http://willou.net/syslog.log.html(...)
Configuration :
# grep -v ^# /etc/pam.d/system-auth |grep -v ^$
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_ldap.so
password required pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient pam_unix.so nullok use_authtok md5 shadow
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required pam_limits.so
session required pam_unix.so
session optional pam_ldap.so
# grep -v ^# /etc/pam.d/sshd |grep -v ^$
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/denyusers
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
# grep -v ^# /etc/pam.d/ftp |grep -v ^$
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth required pam_stack.so service=system-auth
account required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
# grep -v ^# /etc/ldap.conf |grep -v ^$
BASE o=willou,c=net
HOST localhost
URI ldap://localhost:389
BINDDN uid=proxyuser,o=willou,c=net
BINDPW secret
TLS_CACERT /etc/ssl/openldap/ldap.pem
TLS_CACERTDIR /etc/ssl/openldap
TLS_REQCERT allow
pam_password ssha
nss_base_passwd ou=people,o=willou,c=net?one
nss_base_shadow ou=people,o=willou,c=net?one
nss_base_group ou=group,o=willou,c=net?one
Merci encore pour tout.
# Conf de sshd
Posté par Pascal Terjan (site web personnel) . Évalué à 7.
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
[^] # Re: Conf de sshd
Posté par Willou (site web personnel) . Évalué à 2.
Grand merci. Je n'aurais jamais pensé à cherche du coté de ssh convaincu que c'était au niveau de PAM.
Merci encore.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.