[10.3] Problem mit pam_mount via ssh
Hallo, auf einem NX-Server (FreeNX) sollen sich mehrere User anmelden können. Die Authentifizierung erfolgt durch LDAP. Die Anmeldung klappt, die User können auch arbeiten. Ein neues /home/$USER wird wunschgemäß erstellt. In die /etc/security/pam_mount.conf wurden einige "Pflicht-Mounts" aufgenommen. Bei lokaler Anmeldung an der Maschine werden sie gemounted, bei Anmeldung via ssh bzw. NX nicht. Aus /var/log/messages bei einer ssh-Sitzung: ---schnipp--- sshd[10069]: Accepted keyboard-interactive/pam for wflamme from 141.65.129.36 port 39292 ssh2 sshd[10075]: pam_mount(pam_mount.c:413) error trying to retrieve authtok from auth code sshd[10075]: pam_mount(pam_mount.c:159) conv->conv(...): Conversation error ufznx sshd[10075]: pam_mount(pam_mount.c:416) error trying to read password ---schnapp--- Wo liegt mein Konfigurationsfehler? ---schnipp--- # cat /etc/pam.d/sshd #%PAM-1.0 auth requisite pam_nologin.so #auth sufficient pam_ldap.so use_first_pass auth include common-auth account include common-account password include common-password session required pam_loginuid.so session include common-session # Enable the following line to get resmgr support for # ssh sessions (see /usr/share/doc/packages/resmgr/README) session optional pam_resmgr.so fake_ttyname auth include my-auth session include my-session # cat /etc/pam.d/my-auth #%PAM-1.0 auth optional pam_mount.so use_first_pass use_authtok # cat /etc/pam.d/my-session #%PAM-1.0 session optional pam_mkhomedir.so session optional pam_mount.so use_first_pass use_authtok ---schnapp--- Die "use_authtok" in den "my-"-Konfigurationen kann ich auch entfernen, ohne dass sich an der Fehlermeldung etwas ändert. Außerdem kommt beim Abmelden (ssh): ---schnipp--- sshd[10075]: PAM audit_log_acct_message() failed: Operation not permitted sshd[10133]: pam_mount(misc.c:346) error setting uid to 0 pmvarrun: pmvarrun: unable to chown /var/run/pam_mount/wflamme: Operation not permitted sshd[10075]: pam_mount(pam_mount.c:356) pmvarrun failed ---schnapp--- Beim Abmelden via NX lautet die 3. Zeile "pmvarrun: pmvarrun: unable to chown /var/run/pam_mount/nx: Operation not permitted". Kann ich daraus schließen, dass FreeNX die Mounts als User "nx" statt "wflamme" versucht? Mit "debug 1" in /etc/security/pam_mount.conf kommt exakt keine Ausgabe, als würde pam_mount überhaupt nicht angefasst. Das "error setting uid to 0" scheint nicht Suse-spezifisch zu sein, siehe z. B. <https://bugs.launchpad.net/ubuntu/+source/libpam-mount/+bug/117736>: "Bug is caused by pam dropping root priv on pam_mount routine too early". Frage: muss ich den NX-Server auf openSUSE 10.2 zurücksetzen, weil m. W. das Mounten per SSH in dieser Version (seit der 10.0) funktionierte? Oder habe ich mich einfach verkonfiguriert? ---schnipp--- # rpm -q pam pam-0.99.8.1-15 # rpm -qa | grep pam_ | sort pam_apparmor-2.0.2-19 pam_ccreds-4-70 pam_chroot-0.9.1-64 pam_cifs-0.5.1-11 pam_krb5-2.2.17-14 pam_ldap-184-49 pam_mktemp-1.0.2-65 pam_mount-0.18-84 pam_p11-0.1.3-17 pam_passwdqc-1.0.2-64 pam_pkcs11-0.6.0-23 pam_radius-1.3.16-144 pam_ssh-1.94-96 pam_userpass-1.0-64 ---schnapp--- Gruß Werner -- Werner Flamme, Abt. WKDV Helmholtz-Zentrum für Umweltforschung GmbH - UFZ Permoserstr. 15 - 04318 Leipzig Tel.: (0341) 235-1921 - Fax (0341) 235-451921 http://www.ufz.de - eMail: werner.flamme@ufz.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Werner Flamme schrieb:
Hallo,
auf einem NX-Server (FreeNX) sollen sich mehrere User anmelden können. Die Authentifizierung erfolgt durch LDAP. Die Anmeldung klappt, die User können auch arbeiten. Ein neues /home/$USER wird wunschgemäß erstellt.
In die /etc/security/pam_mount.conf wurden einige "Pflicht-Mounts" aufgenommen. Bei lokaler Anmeldung an der Maschine werden sie gemounted, bei Anmeldung via ssh bzw. NX nicht.
Aus /var/log/messages bei einer ssh-Sitzung: ---schnipp--- sshd[10069]: Accepted keyboard-interactive/pam for wflamme from 141.65.129.36 port 39292 ssh2 sshd[10075]: pam_mount(pam_mount.c:413) error trying to retrieve authtok from auth code sshd[10075]: pam_mount(pam_mount.c:159) conv->conv(...): Conversation error ufznx sshd[10075]: pam_mount(pam_mount.c:416) error trying to read password ---schnapp---
Wo liegt mein Konfigurationsfehler?
---schnipp--- # cat /etc/pam.d/sshd #%PAM-1.0 auth requisite pam_nologin.so #auth sufficient pam_ldap.so use_first_pass auth include common-auth account include common-account password include common-password session required pam_loginuid.so session include common-session # Enable the following line to get resmgr support for # ssh sessions (see /usr/share/doc/packages/resmgr/README) session optional pam_resmgr.so fake_ttyname auth include my-auth session include my-session
# cat /etc/pam.d/my-auth #%PAM-1.0 auth optional pam_mount.so use_first_pass use_authtok
# cat /etc/pam.d/my-session #%PAM-1.0 session optional pam_mkhomedir.so session optional pam_mount.so use_first_pass use_authtok ---schnapp---
Die "use_authtok" in den "my-"-Konfigurationen kann ich auch entfernen, ohne dass sich an der Fehlermeldung etwas ändert.
Außerdem kommt beim Abmelden (ssh):
---schnipp--- sshd[10075]: PAM audit_log_acct_message() failed: Operation not permitted sshd[10133]: pam_mount(misc.c:346) error setting uid to 0 pmvarrun: pmvarrun: unable to chown /var/run/pam_mount/wflamme: Operation not permitted sshd[10075]: pam_mount(pam_mount.c:356) pmvarrun failed ---schnapp---
Beim Abmelden via NX lautet die 3. Zeile "pmvarrun: pmvarrun: unable to chown /var/run/pam_mount/nx: Operation not permitted". Kann ich daraus schließen, dass FreeNX die Mounts als User "nx" statt "wflamme" versucht? Mit "debug 1" in /etc/security/pam_mount.conf kommt exakt keine Ausgabe, als würde pam_mount überhaupt nicht angefasst.
Das "error setting uid to 0" scheint nicht Suse-spezifisch zu sein, siehe z. B. <https://bugs.launchpad.net/ubuntu/+source/libpam-mount/+bug/117736>: "Bug is caused by pam dropping root priv on pam_mount routine too early".
Frage: muss ich den NX-Server auf openSUSE 10.2 zurücksetzen, weil m. W. das Mounten per SSH in dieser Version (seit der 10.0) funktionierte? Oder habe ich mich einfach verkonfiguriert?
---schnipp--- # rpm -q pam pam-0.99.8.1-15 # rpm -qa | grep pam_ | sort pam_apparmor-2.0.2-19 pam_ccreds-4-70 pam_chroot-0.9.1-64 pam_cifs-0.5.1-11 pam_krb5-2.2.17-14 pam_ldap-184-49 pam_mktemp-1.0.2-65 pam_mount-0.18-84 pam_p11-0.1.3-17 pam_passwdqc-1.0.2-64 pam_pkcs11-0.6.0-23 pam_radius-1.3.16-144 pam_ssh-1.94-96 pam_userpass-1.0-64 ---schnapp---
Gruß Werner
Hallo, danke für eure Antworten. Ja von der Sache mit dem Ndiswrapper wollte ich auch erst mal absehen. Das ist es mir so erst mal nicht Wert aber ich habe ja auch fwcutter benutzt und das scheint so auszusehen, als ob es funktioniert. Er findet immer noch problemlos die Netwerkverbindung und sendet und empfängt jede Menge Bytes. Nur eine Internetadresse kann ich immer noch nicht aufrufen. Ich hoffe doch, dass dies nur ein Konfigurationsproblem ist? Ich habe auch versucht statische Adresse und Standardgateway einzutragen. das Gerät ist ein Belkin High-Speed Mode Wireless G Router. Hört sich ziemlich nach Router an, oder? Als Gateway hab ich die IP des Routers eingetragen und als IP der Netzwerkkarte eine im gleichen Bereich also am Ende drei Nummern weiter... Funktioniert leider nicht DHC im Router ist aktiviert, da habe ich nachgeguckt.... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Barbara Caroppo -
Werner Flamme