Рейтинг:0

Доступ по SSH запрещен для одного пользователя

флаг in

У меня возникает ошибка при попытке подключиться по SSH к серверу, для одного пользователя. Домашний каталог этого пользователя находится в /opt с каталогом .ssh (разрешения: 700) и файлом author_keys, содержащим открытый ключ. Он работает с другими пользователями, чьи домашние каталоги находятся в /home, используя тот же ключ rsa, который я могу подключить как другой пользователь. В /var/log/secure я получаю:

8 апреля 14:48:22 myserver sshd[338949]: pam_sss(sshd:account): доступ запрещен для пользователя myuser: 6 (отказано в доступе)
8 апреля, 14:48:22 myserver sshd[338949]: фатальный: доступ запрещен для пользователя myuser конфигурацией учетной записи PAM [preauth]

Используя ssh -vvv последние строки:

debug1: сервер принимает ключ: pkalg rsa-sha2-512 blen 535
debug2: input_userauth_pk_ok: fp SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
debug3: sign_and_send_pubkey: RSA SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
debug3: отправить пакет: введите 50
Ошибка аутентификации.

Если я подключаюсь к этому серверу как другой пользователь, используя тот же ключ, он работает, единственная разница, которую я вижу, заключается в том, что домашний каталог находится в /opt вместо /home. И этот пользователь имеет подчеркивание в своем имени для входа. Вы сталкивались с такой ситуацией?

[EDIT] Дополнительная информация:

Селинукс отключен

[root@myserver ~]# getenforce
Неполноценный
[myuser@myserver ~]$ ls -la /opt/myuser/
drwx------ 2 myuser myuser 80 8 апр 14:46 .ssh
[myuser@myserver ~]# ls -l /opt/myuser/.ssh/authorized_keys
-rw------- 1 myuser myuser 1131 8 апреля 14:46 /opt/myuser/.ssh/authorized_keys
[root@myserver ~]# namei -l /opt/myuser/.ssh/authorized_keys
f: /opt/myuser/.ssh/authorized_keys
dr-xr-xr-x корень корень /
drwxr-xr-x root root opt
drwx------ мой пользователь мой пользователь мой пользователь
drwx------ мой пользователь мой пользователь .ssh
-rw------- мой пользователь мой пользователь авторизованные_ключи
[root@myserver ~]# grep -v ^# /etc/ssh/sshd_config
Ключ хоста /etc/ssh/ssh_host_rsa_key
Ключ хоста /etc/ssh/ssh_host_ecdsa_key
Ключ хоста /etc/ssh/ssh_host_ed25519_key

SyslogFacility AUTHPRIV

PermitRootЛогин нет

Файл авторизованных ключей .ssh/authorized_keys

Аутентификация по паролю да

ВызовОтветАутентификация нет

GSSAPIAАутентификация да
GSSAPICleanupCredentials нет

ИспользоватьPAM да

X11Переадресация да

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

Подсистема sftp /usr/libexec/openssh/sftp-сервер
[root@myserver ~]# кошка /etc/pam.d/sshd
#%PAM-1.0
требуется авторизация pam_sepermit.so
подстек аутентификации пароль-аутентификация
авторизация включает постлогин
# Используется с polkit для повторной авторизации пользователей в удаленных сеансах
-auth необязательный pam_reauthorize.so подготовить
требуется учетная запись pam_nologin.so
учетная запись включает пароль-аутентификацию
пароль включает пароль-аутентификацию
# pam_selinux.so close должно быть первым правилом сеанса
требуется сеанс pam_selinux.so закрыть
требуется сеанс pam_loginuid.so
# За pam_selinux.so open должны следовать только сеансы, которые будут выполняться в контексте пользователя
требуется сеанс pam_selinux.so, откройте env_params
требуется сеанс pam_namespace.so
необязательный сеанс pam_keyinit.so принудительно отозвать
сеанс включает пароль-аутентификацию
сессия включает постлогин
# Используется с polkit для повторной авторизации пользователей в удаленных сеансах
-session необязательный pam_reauthorize.so подготовить

Аутентификация LDAP также включена через sssd.

флаг in
Селинукс участвует?
флаг in
@GeraldSchneider нет, SELinux отключен
флаг in
Ну, тогда вам нужно предоставить дополнительную информацию. Конфигурация SSHd, конфигурация PAM и многое другое из файлов журнала (при необходимости увеличьте уровень журнала). Фактические разрешения также могут быть полезны (для этого идеально подходит namei -l).
флаг in
@GeraldSchneider спасибо, я добавил дополнительную информацию в пост
флаг in
Вы пропустили параметр `-l` для `namei`, который показывает актуальную информацию.
флаг in
@GeraldSchneider хо, да, я отредактировал это. Хорошая команда, кстати, я ее не знал.
флаг us
Rob
Для меня сообщение об ошибке «Доступ запрещен конфигурацией учетной записи PAM» предполагает, что проблема не в ssh или правах доступа к файлу ключей, а в свойствах учетной записи (неправильная оболочка, группа, которой не разрешен вход в систему, пользователю явно запрещен доступ) - проверьте свойства учетной записи и, возможно, посмотрите, есть ли совпадения в `/etc/security`
Рейтинг:2
флаг cn

Учитывая, что аутентификация LDAP включена, а доступ для этого конкретного пользователя запрещен, это означает, что пользователю не был предоставлен доступ в LDAP к этому серверу.

Вы можете проверить /etc/sssd/sssd.conf за разрешенные_пользователи и разрешенные_группы а затем либо добавьте имя пользователя в качестве записи «разрешенных_пользователей», либо в группу LDAP, указанную в «разрешенных_группах».

флаг in
действительно, спасибо Tewfik. Я сделал опечатку при добавлении пользователя в группу ldap, которой разрешено подключение. Я думал, что это было в группе, но DN был неправильным. Теперь работает, спасибо :)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.