hi,
ich will auf einer Debiankiste die ssh-login-authentication gegen einen RADIUS Server machen. Der RADIUS (freeradius) ist up and running für Switches, Router usw, d.h. der funktioniert soweit.
Auf dem Debian Server habe ich mal das pam_radius_auth.so Modul in /lib/security/ hinzugefügt und /etc/pam_radius_auth.conf konfiguriert:
sowie
#Radius auth
auth radius pam_radius_auth.so
in der /etc/pam.d/ssh hinzugefügt.
Wenn ich mich jetzt mit einem user über ssh connecten will sehe ich das im log vom freeradius:
Auth: Login incorrect: [meta/\010\n\INCORRECT] (from client server port 5858 cli meineip)
d.h. das passwort wird nicht richtig übertragen.
das users file am radius sieht so aus:
meta Auth-Type := Crypt-Local, Crypt-Password = "$1$123abc45$kCKTh94/yTDiPbrwifhh./"
Service-Type = Administrative-User,
Juniper-Local-User-Name = netops
habe ich noch etwas vergessen?
ssh logins über radius auth.
ssh logins über radius auth.
Zuletzt geändert von meta1501 am 08.11.2007 11:18:32, insgesamt 1-mal geändert.
Ich habe mal unter /etc/pam.d/ssh den debug modus aufgedreht:
[/code]
Code: Alles auswählen
#Radius auth
auth sufficient /lib/security/pam_radius_auth.so debug
Code: Alles auswählen
tail -f /var/log/auth.log
sshd[3426]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=meineip
sshd[3426]: error: PAM: User not known to the underlying authentication module for illegal user meta from meineip-
flitschbirne
- Beiträge: 23
- Registriert: 04.07.2007 14:27:24
-
Kontaktdaten:
Re: ssh logins über radius auth.
Hallo,
hast du das mittlerweile am laufen? Ich würde das nämlich auch gerne machen.
Es sieht aber so aus, dass die Benutzer lokal auf dem Linux-System angelegt sein müssen - was natürlich relativ sinnfrei wäre.
hast du das mittlerweile am laufen? Ich würde das nämlich auch gerne machen.
Es sieht aber so aus, dass die Benutzer lokal auf dem Linux-System angelegt sein müssen - was natürlich relativ sinnfrei wäre.
rocknroll!
GrafPorno
GrafPorno
Re: ssh logins über radius auth.
Hallo Jungs,
hat mittlerweile jemand eine Lösung dafür gefunden?
Wenn nicht, können wir mal über ein Workaround nachdenken.
z.B.
vielleicht macht das doch nur über LDAP Sinn, weil sich anscheinend niemand bequemt, die PAM anzupassen.
Also vielleicht für uns so:
- LDAP anstatt/zusätzlich zu MySQL als RADIUS-User Backend
- auf LDAP mit der pam_ldap zugreifen und authentifizieren (das haben wir schon im Linuxhotel gemacht, geht also)
denken wir einfach mal drüber nach
Viele Grüße
Chris
hat mittlerweile jemand eine Lösung dafür gefunden?
Wenn nicht, können wir mal über ein Workaround nachdenken.
z.B.
vielleicht macht das doch nur über LDAP Sinn, weil sich anscheinend niemand bequemt, die PAM anzupassen.
Also vielleicht für uns so:
- LDAP anstatt/zusätzlich zu MySQL als RADIUS-User Backend
- auf LDAP mit der pam_ldap zugreifen und authentifizieren (das haben wir schon im Linuxhotel gemacht, geht also)
denken wir einfach mal drüber nach
Viele Grüße
Chris