ssh + pam + radius

Radek Krejča radek.krejca at starnet.cz
Mon Jul 12 13:48:16 CEST 2010


Ahoj,

mam v siti fungujici radius server (freeradius) a tak se mi jiz celkem hodne rozrusta rodina pocatacu s freebsd. Rad bych automatizoval prihlaseni pres SSH, protoze uz mam i dost uzivatelu. Chtel jsem to udelat proti radiusu (kdyz ho uz mam), ale nenasel jsem nikde howto, kde by bylo vse nejak rozumne pohromade. Krom toho bych potreboval, aby v priapade, ze uzivatel neni v systemu, se "vytvoril", pokud to vubec lze a ma predstava neni prilis naivni. A posledni rade se mi nepodarilo nikde objevit, jak odlisit uzivatele jiz v radiusu zavedene od tech, kterym chci pristup na bsdcka umoznit - nejaky parametr atd. Krom toho jsem tedy nenasel, jake parametry u uzivatele v radiusu uvest.

Co tedy jiz mam:

1. funkcni radius server s povolenym pristupem z daneho ip rozsahu
2. zavedeneho uzivatele v radiusu, zatim pouze uzivatel a jmeno, jake parametry k uzivateli uvest zatim nevim a nemohu najit
3. na testovacim stroji /etc/radius.conf
--------------------------
acct  192.168.1.5  test
auth  192.168.1.5  test
--------------------------

4. /etc/pam.d/sshd
-----------------------------------------------------------------------------------
# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass
auth            required        pam_radius.so           no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_unix.so
account         required        pam_radius.so

# session
#session        optional        pam_ssh.so
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass
password        required        pam_radius.so           no_warn try_first_pass
-----------------------------------------------------------------------------------

5. restartovano sshd
6. jakykoliv pokus o prihlaseni na uzivatele radek konci timto:
Jul 12 13:18:13 pokus sshd[1070]: Invalid user radek from 127.0.0.1
Jul 12 13:18:15 pokus sshd[1070]: error: PAM: authentication error for illegal user radek from localhost
Jul 12 13:18:15 pokus sshd[1070]: Failed keyboard-interactive/pam for invalid user radek from 127.0.0.1 port 59100 ssh2


Jeste tedy znovu muj pozadavek, potrebuji, aby v pripade, ze uzivatel neni zaveden v systemu, tak se "zalozil", alespon tak, aby se prihlasil a mohl pracovat. Dale potrebuji na radiusu nejak odlisit uzivatele, kteri se mohou hlasit do bsd od tech, ktere tam jiz jsou.

Diky
Radek


More information about the Users-l mailing list