Не работает аутентификация WINBIND на втором демоне SSH


Главная Форумы POWER Systems AIX/Hardware Не работает аутентификация WINBIND на втором демоне SSH

В этой теме 3 ответа, 2 участника, последнее обновление  andrewk 5 года/лет, 1 месяц назад.

  • Автор
    Сообщения
  • #17255

    Oleg
    Участник

    Недавно я решил установить второй демон SSH и повесить его на порт 222.
    По идее я планирую впускать через него пользователей AD, а 22 оставить для админов.
    На сервере AIX настроена Samba + Winbind и я могу заходить на сервер по 22-ому порту SSH с учетками AD без каких либо проблем. Автоматом создается директория, выставляются права доступа.
    Но когда я хочу проделать тоже самое со вторым сервером SSH, который весит на 222 порту, то он не видит пользователей Winbind (AD). Он видит только локальных пользователей.
    Скомпилировал второй демон так :
    $ ./configure —prefix=/opt/openssh —with-pam —with-kerberos5=/usr/krb5
    $ make
    $ make install
    … Никаких ошибок не последовало

    Конфиги SSH одинаковые кроме указания портов.

    [code]
    $ cat /etc/ssh/sshd_config | egrep -v «(^#.|^$)»
    Protocol 2
    SyslogFacility AUTHPRIV
    PermitRootLogin no
    PasswordAuthentication yes
    ChallengeResponseAuthentication yes
    GSSAPIAuthentication yes
    GSSAPICleanupCredentials yes
    UsePAM yes
    UseLogin yes
    PermitUserEnvironment yes
    PidFile /var/run/sshd.pid
    Subsystem sftp /usr/sbin/sftp-server -e -l DEBUG3
    [/code]
    Файл /etc/services
    [code]
    ssh 22/tcp # SSH Remote Login Protocol
    ssh 22/udp # SSH Remote Login Protocol
    ssh 222/tcp
    ssh 222/udp
    [/code]
    PAM Конфигурация
    [code]
    #
    # Authentication
    #
    dtaction auth required pam_aix
    dtsession auth required pam_aix
    dtlogin auth required pam_aix
    ftp auth required pam_aix
    imap auth required pam_aix
    login auth required pam_aix
    rexec auth required pam_aix
    rlogin auth sufficient pam_rhosts_auth
    rlogin auth required pam_aix
    rsh auth required pam_rhosts_auth
    snapp auth required pam_aix
    su auth sufficient pam_allowroot
    su auth required pam_aix
    telnet auth required pam_aix
    OTHER auth required pam_prohibit

    #
    # Account Management
    #
    dtlogin account required pam_aix
    ftp account required pam_aix
    login account required pam_aix
    rexec account required pam_aix
    rlogin account required pam_aix
    rsh account required pam_aix
    su account sufficient pam_allowroot
    su account required pam_aix
    telnet account required pam_aix
    OTHER account required pam_prohibit

    #
    # Password Management
    #
    dtlogin password required pam_aix
    login password required pam_aix
    passwd password required pam_aix
    rlogin password required pam_aix
    su password required pam_aix
    telnet password required pam_aix
    OTHER password required pam_prohibit

    #
    # Session Management
    #
    dtlogin session required pam_aix
    ftp session required pam_aix
    imap session required pam_aix
    login session required pam_aix
    rexec session required pam_aix
    rlogin session required pam_aix
    rsh session required pam_aix
    snapp session required pam_aix
    su session required pam_aix
    telnet session required pam_aix
    OTHER session required pam_prohibit
    [/code]

  • #17256

    andrewk
    Участник

    ойо, сколько Вы наворотили. Я даже не знаю, что советовать. Наверно, сначала надо сходить на курсы по AIX. Хотя там, конечно, не рассказывают про компиляцию и OpenSSH, но начинать надо с простого. Потом поработать немного с AIX’ом, почитать книги. Сорри, но я уже говорил — вопрос интеграции AIX в домен AD решается не с помощью каких-то линуксовых поделок, а стандартными средствами AIX. Если Вы первый SSH тоже сами компилировали, как и второй — то Вы нашли ответ на тот вопрос, почему у Вас sftp там не работает. Эта Ваша конфигурация тоже работать не будет и не спрашивайте почему — просто удалите ее.

  • #17257

    Oleg
    Участник

    Андрей. Конкретно здесь приведен листинг с чистой системы, настроенной с нуля.
    Первый демон OpenSSH является родным для AIX и установлен по умолчанию вместе с системой.
    Тут я задаю вопрос не про SFTP, а про то как запускать пользователей AD через второй SSH демон. Если вы не знаете ответ, то лучше промолчать. Я уже объяснял почему использую Samba, а не krb5+ldap. Курсы по AIX я прошел все части и кстати если не изменяет память — читали мне лично вы в 2009-ом в Москве.

  • #17258

    andrewk
    Участник

    изменяет 🙂 лично я курсы вообще никому не читал (ну если не считать приватные курсы для моих заказчиков в Германии — но Вы их точно посещать не могли, потому что иначе бы мы с Вами сейчас беседовали по-немецки и по телефону). Ответ я тоже сказал единственный правильный — удалите все, что Вы сделали, после этого начните с формулирования задачи. Эта Ваша конфигурация работать не будет.

Для ответа в этой теме необходимо авторизоваться.