Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Google Authenticator pro SSH
- - Od stibi Dne 2014-09-10 19:43
Ahoj,
chtěl bych si na Turrisu zprovoznit dvoufázovou autorizaci pro připojení přes SSH zvenku.
Vidím, že v OpenWRT se už to řešilo: https://dev.openwrt.org/ticket/9138
Balíček zdá se mají: https://dev.openwrt.org/browser/packages/libs/google-authenticator?rev=38492

Chápu to správně, že ve vanila OpenWRT je tenhle balík připravený (i když jsem ho teda nikde nenašel, tak nevim nevim), ale pro Turris není sestavený?
Nadřazený - Od stibi Dne 2014-09-10 20:58
- Od stibi Dne 2014-09-10 21:32
Hm, tak to bylo kupodivu dost jednoduché, díky Ondřeji Caletkovi za SDK, s ním je build balíčku hračka.
google-authenticator si ještě řekl o libpam a qrencode, pro obojí existuje Makefile, nebyla třeba žádná úprava.

Jen pro zajímavost (budu generovat nové kódy, žádný strach, jen jsem chtěl vyzkoušet /usr/sbin/google-authenticator)
- - Od stibi Dne 2014-09-10 22:22
Akorát, možná bude problém s PAM v openssh na Turrisu, že?

Zatím jsem tady:
root@turris:~# /etc/init.d/sshd restart
/var/etc/ssh/sshd_config line 5: Unsupported option UsePAM


Nevím, jestli je openssh osekaný o tuto funkcionalitu, nebo mě jenom sprdnul nějaký parser konfigurace, který tuhle option nechce povolit…zjišťuju…
Nadřazený - Od stibi Dne 2014-09-10 22:37
- - Od stibi Dne 2014-09-11 09:42
Docela mi tady ta samomluva jde - hlásím úspěch.
Poslední důležitá věc byla správná revize libpam, tady tahle obsahuje vše, co je třeba: https://dev.openwrt.org/browser/packages/libs/libpam?rev=38494#files/pam.d

Teď už jen dopilovat konfiguraci PAM pro sshd.
Výchozí stav je takový, že když mám nakonfigurované SSH klíče pro uživatele, nechce to po mě nic dalšího.
Když zruším klíč, chce to kód z google authenticatoru.

Určitě nechci, aby mě to otravovalo s kódem při připojení z lokální sítě, to se dá nastavit, to umím.

Ale zvenku, to chci aby byl na místě SSH klíč a zároveň správný kód - to by mělo jít správným nastavením PAM modulů…na tom dělám :)

Chci se zeptat Turris týmu - bylo by možno do budoucna sestavovat openssh s podporou PAM? Díky!
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-09-11 11:40

> Ale zvenku, to chci aby byl na místě SSH klíč a zároveň správný kód - to by mělo jít správným nastavením PAM modulů…na tom dělám :)


Takhle to fungovat nemůže, při přihlášení SSH klíčem sshd kompletně obchází PAM. Jednorázové heslo se dá použít jen v kombinaci s klasickým přihlášením heslem.
Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Google Authenticator pro SSH

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill