+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

pam аутентификация и Radius, Proxmox Виртуальная Среда

svacaroaia

Guest

03.01.2013 17:42:00

Привет! Можно ли использовать pam_radius с PROXMOX? У нас сейчас есть Yubikey (двухфакторная аутентификация), и мы хотели бы применить её и в нашем кластерe proxmox. Поскольку используется PAM, я предполагаю, что проблем быть не должно, но… предположения — мать всех грубых ошибок, так что любая подсказка, пример или совет будут очень кстати.

Вот что мы делаем (работает отлично на всех наших Linux-серверах):
- sudo apt-get install libnss-ldapd libpam-radius-auth ldap-utils
- редактируем /etc/nslcd.conf, добавляя или изменяя нужные данные
- добавляем в pam.d/common-auth:
auth [success=done new_authtok_reqd=ok ignore=ignore default=bad] /lib/security/pam_radius_auth.so localifdown
- редактируем /etc/pam_radius_auth.conf, добавляя секрет Radius
- редактируем pam.d/sshd
- редактируем /etc/nsswitch

Спасибо,
Стивен

starnetwork Guest	#2 0 20.04.2013 21:26:00 Привет, Стивен, у тебя уже всё работает? С наилучшими пожеланиями, Star Network.

svacaroaia Guest	#3 0 22.04.2013 13:54:00 Да, это так. Спасибо, что продолжаете следить за ситуацией, Стивен.

starnetwork

Guest

22.04.2013 14:21:00

Привет, Стивен, спасибо за ответ. Вот как происходит рабочий процесс:
Шаги, которые выполняются (и отлично работают на всех наших Linux-серверах):
- sudo apt-get install libnss-ldapd libpam-radius-auth ldap-utils
- отредактировать /etc/nslcd.conf и добавить/изменить нужные данные
- добавить в pam.d/common-auth строку:
auth [success=done new_authtok_reqd=ok ignore=ignore default=bad] /lib/security/pam_radius_auth.so localifdown
- отредактировать /etc/pam_radius_auth.conf и добавить секрет Radius
- отредактировать pam.d/sshd
- отредактировать /etc/nsswitch

Можешь, пожалуйста, подробнее объяснить, как сделать post?

С уважением, Star Network.

svacaroaia

Guest

22.04.2013 15:30:00

Привет! Я выяснил, что Proxmox на самом деле не зависит от того, как у вас настроен PAM — он будет использовать то, что есть. Так что, если ваш сервер Debian умеет работать с Radius, вам останется только добавить пользователей в Proxmox (pveum — ваш лучший друг). Если посчитаете, что это будет полезно сообществу, я с удовольствием выложу свою конфигурацию. Стивен

starnetwork

Guest

22.04.2013 15:56:00

Привет, Стивен, думаю, это будет полезно. Например, я тестировал это на четырех разных людях. Также устройства yubico yubikey не имеют результатов на форуме Proxmox, кроме этого поста. Это должно помочь как хороший источник информации. Еще раз спасибо, Star Network.

svacaroaia

Guest

22.04.2013 18:09:00

Вот инструкция:

1. Установите необходимые пакеты:
aptitude install libnss-ldapd libpam-radius-auth ldap-utils sudo

2. Настройте sudo — убедитесь, что он работает.

3. Настройте LDAP в /etc/nslcd.conf. Проверьте командой "getent passwd" — она должна вернуть всех пользователей из LDAP.

4. Настройте PAM:
Добавьте в /etc/pam.d/common-auth
auth [success=done new_authtok_reqd=ok ignore=ignore default=bad] /lib/security/pam_radius_auth.so localifdown
Добавьте в /etc/pam.d/sshd
auth sufficient pam_radius_auth.so
Добавьте в /etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

Отредактируйте /etc/pam_radius_auth.conf, добавив следующий радиус-сервер и секрет:
radius.tor.xxx.xx.com My_Secret

6. Настройте radius, добавив запись в /etc/freeradius/clients.conf для каждого клиента-сервера:
10.10.xx.xx {
secret = My_Secret
nastype = other
shortname = bs02-hst02.tor
}

Убедитесь, что для соответствующей подсети создан huntgroup, например:
#PROXMOX servers
ptnet Client-IP-Address =~ "^10\.10\.xx\..*$"

Перезапустите freeradius.
Проверьте, войдя с другого консоли — если тест успешен, переходите к следующему шагу, если нет — ищите и устраняйте проблему!

7. Настройте Proxmox для использования PAM Radius. Добавьте запись для каждого пользователя в /etc/pve/user.cfg или используйте pveum (пример ниже):

cat /etc/pve/user.cfg
user:john@pam:1:0:::::
user:ete@pam:1:0:::::
user:root@pam:1:0:::support@xxxxxxx.com::
user:svacaroaia@pam:1:0:Steven:Vacaroaia:svacaroaia@medavail.com::
group:support:msoto@pam,acarvalho@pam,svacaroaia@pam,amcculloch@pam:support
group:
acl:1:/ support VEAdmin:

ВАЖНО: всегда держите открытой отдельную root-консоль на серверах, которые настраиваете, чтобы в случае чего исправить или отменить изменения.
Возможно, вы не сможете добавить узлы в кластер — в этом случае отключите radius, закомментировав соответствующую запись в common-auth.

starnetwork Guest	#8 0 22.04.2013 18:27:00 Очень полезно, спасибо, Стивен! С наилучшими пожеланиями, Star Network.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры