#1 Le 11/03/2015, à 11:24
- jag_rdmo
[Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
Bonjour à tous,
Nous venons de mettre en place un domaine type active directory avec en contrôleur de domaine un SAMBA4. Les client wibndows et linux se sont intégrés correctement.
J'ai par contre un problème sur les conexions ssh, il reconnait bien les utilisateurs du domaine, mais demande à chaque fois le mot de passe de l'utilisateur (connexion en terminal).
Je me rappel que précédemment, lors de mes test une fois le poste de travail join au domain via l'outil pbis je pouvais me connecter directement aux autres stations de travail en ssh sans avoir à retaper le mot de passe.
Y a t il des configurations particulière à mettre en place dans sshd ?
erreur lors de la connexion ssh -vv
Unspecified GSS failure. Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure. Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure. Minor code may provide more information
debug1: Unspecified GSS failure. Minor code may provide more information
No Kerberos credentials available
ubuntu: 14.04
pbis: pbis-open-8.0.1.2029.linux.x86_64
merci par avance pour vos retours
Dernière modification par jag_rdmo (Le 17/03/2015, à 14:58)
Hors ligne
#2 Le 11/03/2015, à 11:33
- jplemoine
Re : [Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
Tu avais peut-être fait des connexions via des clés : regardes le paragraphe 3.2 dans cette page.
Je n'ai plus mes machines pour tester (elles prennent momentanément la poussière à la cave) mais il me semble que j'avais mis en place en truc du style (sans Active directory).
- le poste client avait "la clé USB magique" : connexion directe
- le poste client n'avait pas cette clé USB : demande de mot de passe + un jeton valable 30s à lire sur mon tel portable
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#3 Le 11/03/2015, à 11:55
- αjet
Re : [Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
J'ai jamais eu a utiliser ensemble AD / Kerberos et ssh, je ne savais d'ailleurs pas qu'ils pouvaient cooperer. En cherchant un peu, je suis tombe sur cet article de blog qui decrit la configuration a effectuer sur le serveur ssh ainsi que sur Kerberos: http://blog.manula.org/2012/04/setting- … ebian.html
Concernant sshd, il est notamment indique qu'il faut rajouter les parametres suivants dans /etc/ssh/sshd_config:
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
En esperant que ca aide un peu...
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#4 Le 12/03/2015, à 08:32
- jag_rdmo
Re : [Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
A propos du système de clefs ssh, c'est ce que j'utilise depuis un moment. Mais j'avoue être lassé du ssh-copy-id. De plus lorsque la taille de ton par augmente cela devient vite un casse tête. La solution que nous avions trouvé était d'utiliser un annuaire de type LDAP. Comme nous possédons aussi des postes windows, nous avions choisi de partir une samba4 pour une interopérabilité maximale.
J'avais réussi à faire un labtest ou je pouvais me connecter ssh sans password sans avoir eu besoin de mettre en place le système de clef. il se basait sur Kerberos, j'essaye de remettre en place ce genre de chose via pbis qui utilise le kerberos offert pour samba4.
Je viens d'essayer avec les options de GSSAPI rien de mieux le plus étrange c'est côté client avec option -vvv je ne vois pas de référence à GSSAPI u kerberos
Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password,keyboard-interactive
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/local/INTRA/user_test/.ssh/id_rsa
debug3: no such identity: /home/local/INTRA/user_test/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/local/INTRA/user_test/.ssh/id_dsa
debug3: no such identity: /home/local/INTRA/user_test/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/local/INTRA/user_test/.ssh/id_ecdsa
debug3: no such identity: /home/local/INTRA/user_test/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/local/INTRA/user_test/.ssh/id_ed25519
debug3: no such identity: /home/local/INTRA/user_test/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Dernière modification par jag_rdmo (Le 12/03/2015, à 08:53)
Hors ligne
#5 Le 13/03/2015, à 10:36
- jag_rdmo
Re : [Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
J'ai trouvé d'où venait mes problèmes. il a fallu que je force le client à utiliser les GSSAPI, et de suite je me suis aperçu que je n'arrivai pas à joindre mon KDC, pour une raison que j'ignore certain services parvenait à joindre Kerberos et d'autre non.
Les entrées dns n'était pas accessibles depuis tous les clients. j'ai revue tous le dns et maintenant tout fonctionne.
Hors ligne
#6 Le 13/03/2015, à 12:51
- αjet
Re : [Résolu] - connexion ssh sans mot de passe avec pbis/activedirectory
C’était pas évident a diagnostiquer comme problème! Tu peux mettre résolu dans le titre donc.
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne