Je n'arrive pas =E0 permettre la connexion d'usager en ssh si
l'authentification
=E0 lieu en Tacacs ET si les utilisateurs ne sont pas d=E9finis
localement dans le fichier /etc/passwd.
Par contre en telnet ca passe bien...
J'utilise Freeb 5.4 et ma configuration /etc/pam.d/sshd :
erreur dans /var/log/auth.log :
Jul 5 15:14:46 freeb sshd[871]: Illegal user tutu from 10.237.2.128
Jul 5 15:14:49 freeb sshd[871]: Failed unknown for illegal user tutu
from 10.237.2.128 port 1495 ssh2
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Yoyo
Merci Cyril, même en congé tu réponds présent :)
Si je comprends bien, il faut que je passe en openssh car je ne pense pas que cette option de privsep (UsePrivilegeSeparation ???) soit disponible dans le ssh livré en standard. A+
Lionel
Merci Cyril, même en congé tu réponds présent :)
Si je comprends bien, il faut que je passe en openssh car je ne pense
pas que
cette option de privsep (UsePrivilegeSeparation ???) soit disponible
dans le ssh livré en standard.
A+
Si je comprends bien, il faut que je passe en openssh car je ne pense pas que cette option de privsep (UsePrivilegeSeparation ???) soit disponible dans le ssh livré en standard. A+
Lionel
Yoyo
Bon j'ai répondu trop vite, l'option existe bien dans la version de ssh livré en standard. Par contre si je dévalide le privsep, cela ne fonctionne pas et les erreurs d'auth sont les suivantes : Jul 6 10:17:19 freeb sshd[523]: Illegal user tutu from 10.237.2.128 Jul 6 10:17:19 freeb sshd[523]: input_userauth_request: illegal user tutu Jul 6 10:17:19 freeb sshd[523]: Failed none for illegal user tutu from 10.237.2.128 port 2125 ssh2 Jul 6 10:17:19 freeb sshd[523]: Postponed keyboard-interactive for illegal user tutu from 10.237.2.128 port 2125 ssh2 Jul 6 10:17:34 freeb sshd[523]: Failed keyboard-interactive/pam for illegal user tutu from 10.237.2.128 port 2125 ssh2
Lionel
PS : tout à fait d'accord avec toi pour éviter de bidouiller le pam_tacplus.so ou autre...
Bon j'ai répondu trop vite, l'option existe bien dans la version de
ssh livré en standard.
Par contre si je dévalide le privsep, cela ne fonctionne pas et les
erreurs d'auth sont les suivantes :
Jul 6 10:17:19 freeb sshd[523]: Illegal user tutu from 10.237.2.128
Jul 6 10:17:19 freeb sshd[523]: input_userauth_request: illegal user
tutu
Jul 6 10:17:19 freeb sshd[523]: Failed none for illegal user tutu from
10.237.2.128 port 2125 ssh2
Jul 6 10:17:19 freeb sshd[523]: Postponed keyboard-interactive for
illegal user tutu from 10.237.2.128 port 2125 ssh2
Jul 6 10:17:34 freeb sshd[523]: Failed keyboard-interactive/pam for
illegal user tutu from 10.237.2.128 port 2125 ssh2
Lionel
PS : tout à fait d'accord avec toi pour éviter de bidouiller le
pam_tacplus.so ou autre...
Bon j'ai répondu trop vite, l'option existe bien dans la version de ssh livré en standard. Par contre si je dévalide le privsep, cela ne fonctionne pas et les erreurs d'auth sont les suivantes : Jul 6 10:17:19 freeb sshd[523]: Illegal user tutu from 10.237.2.128 Jul 6 10:17:19 freeb sshd[523]: input_userauth_request: illegal user tutu Jul 6 10:17:19 freeb sshd[523]: Failed none for illegal user tutu from 10.237.2.128 port 2125 ssh2 Jul 6 10:17:19 freeb sshd[523]: Postponed keyboard-interactive for illegal user tutu from 10.237.2.128 port 2125 ssh2 Jul 6 10:17:34 freeb sshd[523]: Failed keyboard-interactive/pam for illegal user tutu from 10.237.2.128 port 2125 ssh2
Lionel
PS : tout à fait d'accord avec toi pour éviter de bidouiller le pam_tacplus.so ou autre...
Fabrice
Lionel
PS : tout à fait d'accord avec toi pour éviter de bidouiller le pam_tacplus.so ou autre...
Je ne pense pas que le pb vienne du pam_tacplus.so puisque le même
module es appelé en telnet. Je penche plus pour ssh aui aurait un peu de mal à déléguer l'identification.
FAbrice
Lionel
PS : tout à fait d'accord avec toi pour éviter de bidouiller le
pam_tacplus.so ou autre...
Je ne pense pas que le pb vienne du pam_tacplus.so puisque le même
module es appelé en telnet. Je penche plus pour ssh aui aurait un peu de
mal à déléguer l'identification.
Merci Cyril. Bon je ne vais pas me lancer dans des bidouilles en c... Je vais créer les users localement dans le /etc/passwd.
Ca sent le paté... C'est pas un peu le codage de ssh qui sent le pâté ? Perso je ne vois
pas pourquoi l'identification est codée en dur et ne peut pas être déléguée, mais il y a peut être un truc qui m'échappe...
FAbrice
Eric Masson
Fabrice writes:
C'est pas un peu le codage de ssh qui sent le pâté ? Perso je ne vois pas pourquoi l'identification est codée en dur et ne peut pas être déléguée, mais il y a peut être un truc qui m'échappe...
Faudrait voir si, dans le cadre de bsdauth, la délégation ne se fait pas sans avoir à modifier le code.
La position des devs d'Open sur pam est assez claire, ça a été pensé avec les pieds...
Éric Masson
-- un mec qui n'a pas d'emoluments de la part d'Aple qui gagne son argent de poche en crayonant des bouts de films animes et qui en plus donne les clefs de la boutique a tout le monde c'est pas normal ! -+- VN in Guide du Macounet Pervers : De Son Intérimerie Steve Jobs -+-
Fabrice <f.bruelpasdepub@wanadoo.fr> writes:
C'est pas un peu le codage de ssh qui sent le pâté ? Perso je ne vois
pas pourquoi l'identification est codée en dur et ne peut pas être
déléguée, mais il y a peut être un truc qui m'échappe...
Faudrait voir si, dans le cadre de bsdauth, la délégation ne se fait pas
sans avoir à modifier le code.
La position des devs d'Open sur pam est assez claire, ça a été pensé
avec les pieds...
Éric Masson
--
un mec qui n'a pas d'emoluments de la part d'Aple qui gagne son argent
de poche en crayonant des bouts de films animes et qui en plus donne
les clefs de la boutique a tout le monde c'est pas normal !
-+- VN in Guide du Macounet Pervers : De Son Intérimerie Steve Jobs -+-
C'est pas un peu le codage de ssh qui sent le pâté ? Perso je ne vois pas pourquoi l'identification est codée en dur et ne peut pas être déléguée, mais il y a peut être un truc qui m'échappe...
Faudrait voir si, dans le cadre de bsdauth, la délégation ne se fait pas sans avoir à modifier le code.
La position des devs d'Open sur pam est assez claire, ça a été pensé avec les pieds...
Éric Masson
-- un mec qui n'a pas d'emoluments de la part d'Aple qui gagne son argent de poche en crayonant des bouts de films animes et qui en plus donne les clefs de la boutique a tout le monde c'est pas normal ! -+- VN in Guide du Macounet Pervers : De Son Intérimerie Steve Jobs -+-
