ssh + pam + radius
Radek Krejča
radek.krejca at starnet.cz
Mon Jul 12 13:48:16 CEST 2010
Ahoj,
mam v siti fungujici radius server (freeradius) a tak se mi jiz celkem hodne rozrusta rodina pocatacu s freebsd. Rad bych automatizoval prihlaseni pres SSH, protoze uz mam i dost uzivatelu. Chtel jsem to udelat proti radiusu (kdyz ho uz mam), ale nenasel jsem nikde howto, kde by bylo vse nejak rozumne pohromade. Krom toho bych potreboval, aby v priapade, ze uzivatel neni v systemu, se "vytvoril", pokud to vubec lze a ma predstava neni prilis naivni. A posledni rade se mi nepodarilo nikde objevit, jak odlisit uzivatele jiz v radiusu zavedene od tech, kterym chci pristup na bsdcka umoznit - nejaky parametr atd. Krom toho jsem tedy nenasel, jake parametry u uzivatele v radiusu uvest.
Co tedy jiz mam:
1. funkcni radius server s povolenym pristupem z daneho ip rozsahu
2. zavedeneho uzivatele v radiusu, zatim pouze uzivatel a jmeno, jake parametry k uzivateli uvest zatim nevim a nemohu najit
3. na testovacim stroji /etc/radius.conf
--------------------------
acct 192.168.1.5 test
auth 192.168.1.5 test
--------------------------
4. /etc/pam.d/sshd
-----------------------------------------------------------------------------------
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass
auth required pam_radius.so no_warn try_first_pass
# account
account required pam_nologin.so
#account required pam_krb5.so
account required pam_login_access.so
account required pam_unix.so
account required pam_radius.so
# session
#session optional pam_ssh.so
session required pam_permit.so
# password
#password sufficient pam_krb5.so no_warn try_first_pass
password required pam_unix.so no_warn try_first_pass
password required pam_radius.so no_warn try_first_pass
-----------------------------------------------------------------------------------
5. restartovano sshd
6. jakykoliv pokus o prihlaseni na uzivatele radek konci timto:
Jul 12 13:18:13 pokus sshd[1070]: Invalid user radek from 127.0.0.1
Jul 12 13:18:15 pokus sshd[1070]: error: PAM: authentication error for illegal user radek from localhost
Jul 12 13:18:15 pokus sshd[1070]: Failed keyboard-interactive/pam for invalid user radek from 127.0.0.1 port 59100 ssh2
Jeste tedy znovu muj pozadavek, potrebuji, aby v pripade, ze uzivatel neni zaveden v systemu, tak se "zalozil", alespon tak, aby se prihlasil a mohl pracovat. Dale potrebuji na radiusu nejak odlisit uzivatele, kteri se mohou hlasit do bsd od tech, ktere tam jiz jsou.
Diky
Radek
More information about the Users-l
mailing list