Forums Neueste Beiträge
 

Offline Auth. mit Kerberos und timeouts (pam_krb5.so, pam_ccreds.so)

06/07/2009 - 11:01 von Ralf Gross | Report spam
Hallo,

ich probiere gerade auf einigen Debian und Ubuntu Systemen die
Authentifizierung mit Kerberos am Active Directory aus.

Das funktioniert auch soweit, nur bei Clients ohne Netzverbindung
(Laptops) làuft das Login in einen Timeout.

google findet dazu nicht so wahnsinnig viel, auf jeden Fall wird
pam_ccreds.so benötigt.

https://wiki.ubuntu.com/NetworkAuth...highlight=(pam\_ccreds\.so)#PAM
http://www.klabs.be/~fpiat/linux/debian/Disconnected_Authentication.html

Meine common-auth für pam sieht momentan so aus.

auth [success=done default=ignore] pam_unix.so debug
auth [authinfo_unavail=ignore success=1 default=2] pam_krb5.so use_first_pass minimum_uid00 debug
auth [default=done] pam_ccreds.so action=validate use_first_pass
auth [default=done] pam_ccreds.so action=store
auth [default=bad] pam_ccreds.so action=update
auth requisite pam_deny.so
auth required pam_permit.so


Ein offline Login Versuch scheitert dann aber immer und ich bekomme die
Meldung "Login timed out after 60 seconds".

Im auth.log sieht das dann so aus:

Jul 6 10:42:04 foo login[24712]: pam_unix(login:auth): authentication failure; logname=myuser uid=0 euid=0 tty=tty3 ruser= rhost= user=myuser
Jul 6 10:42:04 foo login[24712]: (pam_krb5): none: pam_sm_authenticate: entry (0x0)
Jul 6 10:42:04 foo login[24712]: (pam_krb5): myuser: attempting authentication as myuser@foobarblub666.net


Zum Thema timeout und krb5/ccreds habe ich bisher nicht viel gefunden.

In der krb5.conf den Wert für kdc_timeout zu àndern, bringt auch nichts.
Egal was ich mache, ich renne immer in den 60 seconds timeout.


[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
kdc_timeout = 5
max_retries = 1
}


Online mit Verbindung zum AD funktioniert die Authentifizierung und pam_ccreds
scheint auch zu machen was es soll.


Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: attempting authentication as myusere@foobarblub666.net
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_authenticate: exit (success)
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_acct_mgmt: entry (0x0)
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: retrieving principal from cache
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_acct_mgmt: exit (success)
Jul 6 10:58:07 foo sshd[26016]: Accepted password for myusere from 192.168.1.254 port 55154 ssh2
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_setcred: entry (0x2)
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: initializing ticket cache FILE:/tmp/krb5cc_1000_LzpSNP
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_setcred: exit (success)
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_setcred: entry (0x2)
Jul 6 10:58:07 foo sshd[26016]: (pam_krb5): myusere: pam_sm_setcred: exit (success)
Jul 6 10:58:07 foo sshd[26016]: pam_unix(sshd:session): session opened for user myusere by (uid=0)
Jul 6 10:58:07 foo sshd[26027]: (pam_krb5): myusere: pam_sm_setcred: entry (0x2)
Jul 6 10:58:07 foo sshd[26027]: (pam_krb5): myusere: pam_sm_setcred: exit (success)



Kann mir jemand einen Tipp geben, was ich machen muss, um den Timeout zu
umgehen? Das Modul pam_ccreds ergibt ja keinen Sinn, wenn ich vorher in einen
timeout reinlaufe.

Ralf
 

Lesen sie die antworten

#1 Holger Bruns
06/07/2009 - 12:38 | Warnen spam
Ralf Gross wrote:

Hallo,

ich probiere gerade auf einigen Debian und Ubuntu Systemen die
Authentifizierung mit Kerberos am Active Directory aus.



Hallo,

ich probiere gerade meine neuen Birkenstock-Sandaletten aus.

Holger

Ähnliche fragen