Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet

To: debian-user-german@lists.debian.org
Subject: Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
Date: Tue, 19 Sep 2023 17:27:08 +0200
Message-id: <[🔎] 4680d272-0cd6-97a7-f74b-76d8384251c2@stefanbaur.de>
In-reply-to: <ZQm6I88BQQEG0m/B@u-v.de>
References: <[🔎] ae5de98a-8850-98bd-bb1f-f8840f0974f6@stefanbaur.de> <ZQm6I88BQQEG0m/B@u-v.de>

Am 19.09.23 um 17:11 schrieb Ulf Volmer:

Am Tue, Sep 19, 2023 at 04:26:08PM +0200 schrieb Stefan Baur:

Die Lösung ist, dass die /etc/ssh/sshd_config seit Bookworm ein explizites

KbdInteractiveAuthentication no

enthält.

Ist der Parameter nicht gesetzt, dann gilt laut sshd_config-Manpage, dass
der Wert von ChallengeResponseAuthentication übernommen wird - den setze ich
für google_authenticator explizit auf yes.

Du hast offentsichtlich eine andere man Page als ich sie hier habe.

Ja, der Text, den ich gelesen habe, ist aus der manpage vomBullseye-System, das ich da gerade gestartet hatte, also oldstable:<https://manpages.debian.org/bullseye/openssh-server/sshd_config.5.en.html#KbdInteractiveAuthentication>


| KbdInteractiveAuthentication
| 	Specifies whether to allow keyboard-interactive authentication.
|	The argument to this keyword must be yes or no. The default is
|	to use whatever value ChallengeResponseAuthentication is set to
|	(by default yes).

Bei mir steht:

| KbdInteractiveAuthentication
|          Specifies whether to allow keyboard-interactive authentication.  The default is yes.  The argument to this keyword must be yes or no.
|          ChallengeResponseAuthentication is a deprecated alias for this.

Du hast also zwei Wege gefunden, die gleiche Einstellung zu
konfigurieren.

Jetzt wird's interessant. Hier widerspricht sich die neuere Manpage vonBookworm quasi selbst (zumindest, wenn man nicht genau hinschaut). Siespricht von "default is yes", im Kopf der selben Manpage steht aber,dass Debian explizit "no" setzt:


| Note that the Debian openssh-server package sets several options as
| standard in /etc/ssh/sshd_config which are not the default in sshd(8):
|
|	Include /etc/ssh/sshd_config.d/*.conf
|	KbdInteractiveAuthentication no
|	X11Forwarding yes
|	PrintMotd no
|	AcceptEnv LANG LC_*
|	Subsystem sftp /usr/lib/openssh/sftp-server
|	UsePAM yes

Sinnvollerweise müsste man also "The upstream default, but not Debian'sdefault, is yes." schreiben.

Und die Werte überschreiben sich leider auch nicht in der Reihenfolgeihres Erscheinens in der Config.


KbdInteractiveAuthentication no
ChallengeResponseAuthentication yes

zusammen, in dieser Reihenfolge, ergibt weiterhin keineLogin-Möglichkeit per Google Authenticator. "deprecated alias" trifft esalso nicht so ganz - sonst müsste der zweite Wert ja ein "yes" auch fürKbdInteractiveAuthentication erzwingen.


Bissel weird ist das schon.

Gruß
Stefan

Reply to:

Follow-Ups:
- Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
  - From: Ulf Volmer <u.volmer@u-v.de>

References:
- Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
  - From: Ulf Volmer <u.volmer@u-v.de>

Prev by Date: Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
Next by Date: Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
Previous by thread: Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
Next by thread: Re: Selbst gelöst: libpam-google-authenticator unter stable/bookworm funktionierte nicht wie erwartet
Index(es):
- Date
- Thread