Ubuntu-fr

HPIR40

Gros soucis avec Pam et Pam_mount

Bonjour

Jusqu'a aujourd'hui j'utilisais une configuration particuliere de /etc/pam.d/common-session qui etait celle la:

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session	required			pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session	optional	pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
session	[success=ok default=ignore]	pam_lsass.so 
session	optional	pam_mount.so 
session	optional	pam_systemd.so 
session	optional			pam_ck_connector.so nox11
# end of pam-auth-update config

elle fonctionnait parfaitement avec pbis-open, pas de soucis pour ouvrir les sessions etc

depuis aujourd'hui, a chaque reboot, j'ai ce foutu fichier qui revient sur une configuration d'origine sortant de nulle part

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional        pam_umask.so
# and here are more per-package modules (the "Additional" block)
session optional        pam_lsass.so
session required        pam_unix.so
session optional        pam_mount.so
session optional        pam_systemd.so
session optional                        pam_mkhomedir.so
session optional        pam_ecryptfs.so unwrap
# end of pam-auth-update config

1/ Comment faire pour retrouver mon fichier à moi à chaque reboot ?

deuxièmement, j'utilise pam_mount pour monter les disques reseaux

mon fichier /etc/security/pam_mount.conf.xml n'a pas changé mais maintenant mes disques réseaux ne se montent plus, bref la m*** la plus complète, merci ubuntu!!!

A oui et le plus génial par la même occasion: Maintenant pour me connecter en SSH à ma session il ne me demande même plus mon mot de passe ... youpi!!!

La totale

Comment puis je retrouver mon fonctionnement normal?

dans auth.log voilà ce que je trouve:

systemd: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
systemd: PAM adding faulty module: pam_ck_connector.so

Merci pour votre aide

Dernière modification par HPIR40 (Le 06/05/2019, à 15:14)

bruno

Re : Gros soucis avec Pam et Pam_mount

/lib/security/pam_ck_connector.so: cannot open shared object file

Tu fais appel à une bibliothèque (pam_ck_connector.so) qui n'existe pas pour ta version d'Ubuntu. Consolekit n'est plus fourni depuis au moins la 18.04.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

arffff et comment ou par quoi je peux la remplacer?

bruno

Re : Gros soucis avec Pam et Pam_mount

Ne sachant pas ce que tu veux faire, je ne peux pas répondre. S'il s'agit de monter des disques réseau il y a des tas d'autres méthodes, notamment avec des unités systemd.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Il s'agit de capturer le mdp de session pour effectivement monter les disques durs derriere, mais en montage automatique à l'ouverture de session et demontage automatique à la fermeture.

bruno

Re : Gros soucis avec Pam et Pam_mount

Ok mais cela devrait fonctionner simplement avec pam_mount et systemd.
Comment as-tu fait pour en arriver à cette situation ? Est-ce que tu n'aurais pas simplement copié des fichier de configuration d'une Ubuntu 16.04 sur une version plus récente (18.04 ?) ?

Pour refaire la configuration de pam_mount :

sudo dpkg-reconfigure libpam-mount

répondre aux questions en fonction de tes besoins et ensuite ajuster le fichier /pam_mount.conf.xml

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Bonjour

ben avec ta commande tout semble être rentré dans l'ordre sauf.... cette foutue connexion ssh

je n'ai pas configuré de connexion avec clés ssh et pourtant, quand je me connecte en ssh, je rentre mon login et paf je tombe direct sur ma session sans entrer de mot de passe.

Si je rentre un autre user, je dois entrer son mdp, mais une fois son mdp entré, je peux me connecter en direct sur sa session sans passer par la casse entrer votre mot de passe !!!

Jamais vu cela

voici mon fichier /etc/ssh/sshd_config

#       $OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
#Overwritten by lwidentity: ChallengeResponseAuthentication no
ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server
KbdInteractiveAuthentication yes

et /etc/ssh/ssh_config

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
GSSAPIAuthentication yes
#   GSSAPIDelegateCredentials no
GSSAPIDelegateCredentials yes
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Protocol 2
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes

Dernière modification par HPIR40 (Le 07/05/2019, à 11:28)

bruno

Re : Gros soucis avec Pam et Pam_mount

je n'ai pas configuré de connexion avec clés ssh et pourtant, quand je me connecte en ssh, je rentre mon login et paf je tombe direct sur ma session sans entrer de mot de passe.

Si je rentre un autre user, je dois entrer son mdp, mais une fois son mdp entré, je peux me connecter en direct sur sa session sans passer par la casse entrer votre mot de passe !!!

C'est très certainement ton gestionnaire de mot de passe qui enregistre les mots de passe et t'évite d'avoir à les resaisir (gnome-keyring-daemon, kwalletd, ou autre)

LeoMajor

Re : Gros soucis avec Pam et Pam_mount

bonjour,

pam_ck_connector ne porte pas préjudice, puisqu'il est optional

egrep 'chocolat' /etc/pam.d/sshd
session	   optional	pam_chocolat_au_lait.so   #test 

May 07 15:31:35 sas sshd[32569]: PAM adding faulty module: pam_chocolat_au_lait.so
May 07 15:31:35 sas sshd[32569]: PAM unable to dlopen(pam_chocolat.so): /lib/security/pam_chocolat_au_lait.so: cannot open shared object file: No such file or directory

en revanche, ce qui est porte préjudice, est de tout mettre dans common-*, puisque cela affecte tous les services . C'est plus facile de vérifier par exemple la config sshd, et /etc/pam.d/sshd .

A vrai dire, l'usage de common-*, pour les lib-pam, est fortement déconseillé (les développeurs de ladite lib-pam, ne savent pas dans quel contexte, cette dernière sera utilisée, donc un man qui fait référence à common-* est juste un exemple) .
J'irai plus loin, en disant qu'il faut s'interdire common-*  (parcequ'il est impossible de vérifier tous les services et applis qui utilisent pam, en plus s'ajoutent des problèmes d'ergonomie, côté utilisateur) ; par exemple une lib-pam authentification forte, qui sera sollicitée, pour n'importe quelle tâche,  pour un oui pour un non.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Merci beaucoup pour vos infos

Bon pour le ssh, c'est toujours le même problème...je ne trouve pas l'origine du probleme, qui est génant puisque maintenant le montage des disques reseaux via pam_mount ne se fait plus quand on se connecte en ssh.

bruno

Re : Gros soucis avec Pam et Pam_mount

Je n'ai pas compris. Quel est le problème avec SSH ?

LeoMajor

Re : Gros soucis avec Pam et Pam_mount

il y en a toute une tartine sur la doc 16.04. regarde sur la 18.04

:/tmp/usr$ cat ./share/doc/libpam-mount/options.txt 

This short document will explain the various pam_mount options.
Options are listed in the 4th column of a PAM file, e.g.:

	auth	optional	pam_mount.so	debug

Options are to be separated by whitespace, hence specifying more than
one is to look like:

	auth	optional	pam_mount.so	debug disable_interactive


enable_pam_password (default)
disable_pam_password
	Enable or disable asking the PAM system for a previously-entered
	password.

enable_interactive (default)
disable_interactive
	Enable or disable asking for a password interactively.

pam_mount will first try to get the password from PAM, if enabled,
otherwise interactively, if enabled.

enable_propagate_password (default)
disable_propagate_password
	Enable/disable propagation of the interactively-input password
	to PAM modules following in the stack.

 zcat  ./share/doc/libpam-mount/bugs.txt.gz 

....
....

== sshd — various ==

The "UsePAM" configuration option is required to be enabled to make
sshd go through the PAM stacks.

When "PrivilegeSeparation" is enabled in OpenSSH versions before 4.9,
ssh will not run correctly through the PAM stacks. In 4.9 and later,
this is fixed.

When public key authentication is used, the PAM auth stage is entirely
skipped. The same goes for Challenge Response Authentication.

So pam_mount would normally ask for a password in the session stage,
but in any OpenSSH to date, PAM modules do not seem to be able to ask
for a password in the session stage, "conversation" always fails:
https://bugzilla.mindrot.org/show_bug.cgi?id=926#c35
https://bugzilla.mindrot.org/show_bug.cgi?id=688

"UseLogin yes" may be used to enable pam_mount -- irrespective of
public key authentification, privilege separation or UsePAM=no. sshd
itself will not do anything useful w.r.t. pam_mount, but it will call
/bin/login which will then run through the PAM session stage, where
pam_mount can ask your for a password. Read the sshd documentation
about possible pitfalls involved using UseLogin.


== su, probably others — privilege drop ==

I sometimes get reports about unmount failing because of insufficient
privileges. Some programs and/or distributions and/or pam
configurations seem to drop the root privileges after successful
authentification. This goes counter to pam_mount which needs these
privileges for umount. (May not apply for FUSE mounts.)

Known constellations include

	* su from coreutils, on some distros
	* GDM on Ubuntu


== sudo ==

sudo has an internal bug (def_prompt is NULL) that leads to a crash
when a PAM module tries to invoke the conversation function.

Seen with at least 1.6.9p17.
Reference: http://bugs.debian.org/492333

 cat ./share/doc/libpam-mount/README.Debian 
Installation on a Debian system
===============================

Edit the global configuration file /etc/security/pam_mount.conf.xml
and add the volumes you want to mount upon login.
If you enable the "luserconf" entry, every user can specify their
own mounts in $HOME/.pam_mount.conf.xml.
Note that user-specified volumes are mounted under the logged in user,
not as root.

See the pam_mount(8) and pam_mount.conf(5) man pages for more information.

All changes to the file /etc/security/pam_mount.conf.xml
take effect on the next login, so the next time a login shell is started,
any new configured volumes will be read and mounted.

If xmllint is installed, the configuration file can be validated with
the following command:
	xmllint --nonet --noout --loaddtd --valid
	--path /usr/share/xml/pam_mount/dtd/pam_mount.conf.xml.dtd
	/etc/security/pam_mount.conf.xml


Configuration of PAM applications
==================================

This package uses pam-auth-update(8) to configure itself for all PAM
applications. See the pam-auth-update(8) manpage for more info.


Required packages for specific mount types
==========================================
All the packages below are suggested, since you do
not need all of them to successfully use libpam-mount.

Mount type			Required packages
-------------------------------------------------
Samba (cifs)			cifs-utils
NetWare (ncpfs)			ncpfs
LUKS or Dm-crypt (crypt)	cryptsetup, openssl, psmisc, fuser
cryptoloop			openssl, cryptoloop-source (for 2.4 kernels)
Fuse (fuser)			fuse, sshfs
Truecrypt (truecrypt)		no official package available
WebDAV (davfs)			davfs2
XFS (xfs)			xfsprogs

All filesystems also require the appropriate kernel support.
See /proc/filesystems for a list of supported filesystems of the
current kernel.


Notes and bugs
--------------
- If you use SSH, you have to adjust /etc/ssh/sshd_config like this:

  UsePAM yes
  UsePrivilegeSeparation no
  ChallengeResponseAuthentication no
  PasswordAuthentication yes

- Does not work properly with most (all?) ssh implementations
  + openssh-server and the old ssh-krb5 mount ok, but do not unmount
    see bug:
    http://bugs.debian.org/372680
  + lsh-server does not work at all; it does not use PAM

- Only works with gksu when debugging is disabled. Be sure to set
  "debug 0" in /etc/security/pam_mount.conf.xml if you use gksu.

Some PAM modules require a mounted home directory (eg.
pam_gnome_keyring used in gdm). These modules have to be moved
after the common-pammount include if home directories are mounted.

le minimum syndical

auth optional  pam_mount.so	debug

semble être rattachée à l'authentification et pas la session.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Bonjour

bon j'ai ajusté mon fichier /etc/ssh/sshd_config comme indiqué

UsePAM yes
UsePrivilegeSeparation no
ChallengeResponseAuthentication no
PasswordAuthentication yes

relancé ssh et j'ai toujours le même soucis: Lors de la connexion SSH mon mot de passe de session ne m'est plus demandé

J'utilise putty sous windows et un terminal sous ubuntu et même soucis sur les deux.

bruno

Re : Gros soucis avec Pam et Pam_mount

Je ne suis toujours pas sûr de comprendre le souci…
D'après ton retour en #4 du fichier sshd_config, est-ce que tu utilises gssapi/kerberos pour l'authentification ? Si ce n'est pas le cas, commente toutes ces lignes.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Bon je vais donc te faire un petit résumé

Au départ, suite à des mises à jour pam j'avais des erreurs d'authentification, sachant que j'utilise open-pbis pour intégrer mes postes ubuntu dans mon domaine active directory.

Coté ubuntu j'ai des postes 16.04LTS et 18.04LTS.

Il semble, et je met bien cela au conditionnel, que tout est OK maintenant, sauf que et c'est là la deuxieme partie de mon problème, sur 1 serveur de calcul et un seul, sans raison:

1/ je peux me connecter à ma session via ssh sans entrer mon mot de passe (du moment que je l'ai renseigné une fois). Que la connexion se fasse via le terminal d'un poste ubuntu ou a partir de putty sur un poste windows. On n'utilise pas de gestionnaire de mdp ou d'authentification automatique.
2/ ben par la même occasion, via cette connexion ssh (dont les fichiers de configs sont dans mon poste #7, et je tiens a préciser que jusqu'à présent cette configuration fonctionnait parfaitement donc depuis presque 5 ans), les disques réseaux, montés automatiquement via pam_mount, ne se montent plus.

J'espère avoir été plus clair

bruno

Re : Gros soucis avec Pam et Pam_mount

1/ c'est probablement dû à l'authentification via gssapi. Cela me paraît même normal. Il faudrait voir un retour complet de connexion avec des options -v

2/ si tous les points conseillés par la doc donnée en #12 ont été vérifié et appliqués le cas échéant, il reste à examiner les logs pour comprendre pourquoi les montages ne se font pas.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Genial

Merci bruno pour ton aide

J'ai commenté toutes les lignes en relation avec GSSAPI et cela refonctionne comme il faut, c'est à dire comme avant

Il me reste plus qu'a attendre un peu pour voir si l'authentification de la session ne saute plus.

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Bonjour

bon ben je fais remonter ce post car voilà une nouvelle galere avec pam_mount

Le montage des disques réseaux se faisait sans soucic et maintenant j'ai ça:

May 21 09:58:36 neo sshd[26531]: (pam_mount.c:522): mount of homes failed
May 21 09:58:36 neo sshd[26531]: (pam_mount.c:173): conv->conv(...): Conversation error
May 21 09:58:36 neo sshd[26531]: (pam_mount.c:477): warning: could not obtain password interactively either
May 21 09:58:36 neo sshd[26531]: pam_systemd(sshd:session): Failed to create session: Broken pipe

C'est lourd à force

Dernière modification par HPIR40 (Le 21/05/2019, à 10:05)

HPIR40

Re : Gros soucis avec Pam et Pam_mount

Probleme résolu

Il fallait la encore une fois aller voir du coté de /etc/ssh/sshd_config et non pas de /etc/pam.d/