Connexion SSH problème

netsuro
Messages : 1
Inscription : 25 août 2015, 17:32

Connexion SSH problème

Message par netsuro » 25 août 2015, 18:19

Bonjour à tous,

J'ai un soucis de connexion SSH avec tous les comptes de mon Active Directory.

Pour vous expliquer :

1 - J'ai installer "realmd samba-common oddjob oddjob-mkhomedir sssd krb5-workstation" pour la connexion au domaine, tout fonctionnait correctement, même la connexion ssh.

2 - J'ai installer un serveur freeradius, il fonctionne correctement, les utilisateurs de l'AD peuvent s'identifier pour la connexion WIFI sans problème
(pour information j'ai installer "samba samba-winbind samba-winbind-clients freeradius freeradius-utils".

J'ai modifié mon smb.conf

Code : Tout sélectionner

[global]
workgroup = DOMAINE
security = ads
realm = domaine.com
password server = serveur.domaine.com
J'ai modifié les fichiers /etc/raddb/mods-enabled/ntlm_auth /etc/raddb/sites-enabled/default /etc/raddb/sites-enabled/inner-tunnel /etc/raddb/mod-available/mschap

la commande

Code : Tout sélectionner

ntlm_auth --request-nt-key --domain=domaine.com  --username=user --password=password
retourne NT_STATUS_OK: Success (0x0)

Donc tout fonctionne correctement au niveau de freeradius

3 - Depuis l'installation du freeradius, la connexion ssh des utilisateurs de l'AD ne fonctionne plus, notamment un groupe en particulier car je n'ai autoriser que la connexion de ce groupe.

La commande kinit ne retourne pas d'erreur
La commande getent passwd user@domaine.com retourne
DOMAINE\user:*:16777219:16777216:Prénom Nom:/home/DOMAINE/user:/bin/bash

Pouvez-vous m'aider car je sèche complètement ... :'(

Voici quelques logs et fichiers de conf, si vous en avez besoin d'autre n'hésitez pas :

Code : Tout sélectionner

[root@radius ~]# systemctl status sshd
sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled)
   Active: active (running) since mar. 2015-08-25 17:53:39 CEST; 9min ago
 Main PID: 1278 (sshd)
   CGroup: /system.slice/sshd.service
           ├─1278 /usr/sbin/sshd -D
           ├─2555 sshd: user@domaine.com [priv]
           └─2556 sshd: user@domaine.com [net]

août 25 17:53:39 radius.domaine.com systemd[1]: Started OpenSSH server daemon.
août 25 17:53:40 radius.domaine.com sshd[1278]: Server listening on 0.0.0.0 port 22.
août 25 17:53:40 radius.domaine.com sshd[1278]: Server listening on :: port 22.
août 25 17:59:28 radius.domaine.com sshd[2481]: Accepted password for root from 172.23.0.166 port 51935 ssh2
août 25 18:03:08 radius.domaine.com sshd[2555]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.23.0.166  user=user@domaine.com
août 25 18:03:08 radius.domaine.com sshd[2555]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.23.0.166 user=user@domaine.com
août 25 18:03:08 radius.domaine.com sshd[2555]: pam_sss(sshd:auth): received for user user@domaine.com: 10 (User not known to the underlying authentication module)
août 25 18:03:10 radius.domaine.com sshd[2555]: Failed password for user@domaine.com from 172.23.0.166 port 51938 ssh2
Hint: Some lines were ellipsized, use -l to show in full.

Code : Tout sélectionner

more /var/log/secure
Aug 25 18:03:08 radius sshd[2555]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.23.0.166  user=user@domaine.com
Aug 25 18:03:08 radius sshd[2555]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.23.0.166 user=user@domaine.com
Aug 25 18:03:08 radius sshd[2555]: pam_sss(sshd:auth): received for user user@domaine.com: 10 (User not known to the underlying authentication module)
Aug 25 18:03:10 radius sshd[2555]: Failed password for user@domaine.com from 172.23.0.166 port 51938 ssh2

Code : Tout sélectionner

more /etc/ssh/sshd_config
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
UsePrivilegeSeparation sandbox
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem       sftp    /usr/libexec/openssh/sftp-server

Code : Tout sélectionner

more /etc/ssh_config
Host *
        GSSAPIAuthentication yes
ForwardX11Trusted yes
 SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
        SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
        SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
        SendEnv XMODIFIERS

Code : Tout sélectionner

more /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

Code : Tout sélectionner

more /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
## Only allow adminit Active Directory group members
account    sufficient  pam_localuser.so
account    required    pam_succeed_if.so user ingroup DOMAINE\adminit
## pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin

Code : Tout sélectionner

more /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

Répondre