Ocorrendo um problema com o NX 3.5.0 e o SSH durante a fase de autenticação do usuário (tempo limite)

Navegue suas respostas
1

SuSE SLES 11 SP3 Intel P4

Instalei o NX 3.5.0 da NoMachines no meu servidor doméstico que tem funcionado muito bem até recentemente, quando alterei o nome de domínio do meu servidor através do meu registrador, que inadvertidamente interrompeu a autenticação no sistema, invalidando o certificado SSL para openLDAP. Eu tenho uma configuração openLDAP como meu back-end para autenticações do Linux. Desativei o SSL para o servidor openLDAP e para as bibliotecas do cliente LDAP, pois todas as conexões serão locais e evitam a sobrecarga. Agora eu me autentico muito bem agora. Embora isso resolva esse problema específico, continuo a ter um problema com a autenticação do NX Client, continuo recebendo este erro: 

NX> 500 ERROR: Operation timeout in communication with SSH server

Em investigações adicionais, os registros do servidor indicam: 

Sep 14 05:07:43 home NXSERVER-3.5.0-11[27342]: ERROR: reached timeout of 20s while trying SSHd authentication for user '*************', to '127.0.0.1', port '22' 'NXNssUserManager::auth'

Passos tomados para tentar resolver esse problema. Pensei na documentação do NoMachine e não consegui descobrir nenhuma informação sobre como aumentar o valor do tempo limite. Alternativamente. Eu decidi que deveria tentar encurtar o atraso de login do SSH. Isto é basicamente se eu estou preso nos últimos dias, durante algum teste: 

OpenSSH_6.2p2, OpenSSL 0.9.8j-fips 07 Jan 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 20: Applying options for *
debug1: Connecting to localhost [::1] port 22.
debug1: Connection established.
debug1: identity file /home/***********/.ssh/id_rsa type -1
debug1: identity file /home/***********/.ssh/id_rsa-cert type -1
debug1: identity file /home/***********/.ssh/id_dsa type -1
debug1: identity file /home/***********/.ssh/id_dsa-cert type -1
debug1: identity file /home/***********/.ssh/id_ecdsa type -1
debug1: identity file /home/***********/.ssh/id_ecdsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2
debug1: match: OpenSSH_6.2 pat OpenSSH*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr [email protected] none
debug1: kex: client->server aes128-ctr [email protected] none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 46:0f:51:88:c1:55:6f:c0:15:9e:5c:08:57:cc:5a:d9 [MD5]
debug1: Host 'localhost' is known and matches the ECDSA host key.
debug1: Found key in /home/lutchy.horace/.ssh/known_hosts:1
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/***********/.ssh/id_rsa
debug1: Trying private key: /home/***********/.ssh/id_dsa
debug1: Trying private key: /home/***********/.ssh/id_ecdsa
debug1: Next authentication method: keyboard-interactive
....

Há um atraso de 20 segundos para o servidor responder com um aviso. Um do lado do servidor: 

Sep 14 05:29:14 home sshd[27452]: debug1: userauth-request for user ******** service ssh-connection method keyboard-interactive [preauth]
Sep 14 05:29:14 home sshd[27452]: debug1: attempt 1 failures 0 [preauth]
Sep 14 05:29:14 home sshd[27452]: debug2: input_userauth_request: try method keyboard-interactive [preauth]
Sep 14 05:29:14 home sshd[27452]: debug1: keyboard-interactive devs  [preauth]
Sep 14 05:29:14 home sshd[27452]: debug1: auth2_challenge: user=******** devs= [preauth]
Sep 14 05:29:14 home sshd[27452]: debug1: kbdint_alloc: devices 'pam' [preauth]
Sep 14 05:29:14 home sshd[27452]: debug2: auth2_challenge_start: devices pam [preauth]
Sep 14 05:29:14 home sshd[27452]: debug2: kbdint_next_device: devices <empty> [preauth]
Sep 14 05:29:14 home sshd[27452]: debug1: auth2_challenge_start: trying authentication method 'pam' [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_sshpam_init_ctx [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_send entering: type 104 [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_sshpam_init_ctx: waiting for MONITOR_ANS_PAM_INIT_CTX [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive_expect entering: type 105 [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive entering [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive entering
Sep 14 05:29:14 home sshd[27452]: debug3: monitor_read: checking request 104
Sep 14 05:29:14 home sshd[27452]: debug3: mm_answer_pam_init_ctx
Sep 14 05:29:14 home sshd[27452]: debug3: PAM: sshpam_init_ctx entering
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_send entering: type 105
Sep 14 05:29:14 home sshd[27452]: debug3: mm_sshpam_query [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_send entering: type 106 [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_sshpam_query: waiting for MONITOR_ANS_PAM_QUERY [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive_expect entering: type 107 [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive entering [preauth]
Sep 14 05:29:14 home sshd[27452]: debug3: mm_request_receive entering
Sep 14 05:29:14 home sshd[27452]: debug3: monitor_read: checking request 106
Sep 14 05:29:14 home sshd[27452]: debug3: mm_answer_pam_query
Sep 14 05:29:14 home sshd[27452]: debug3: PAM: sshpam_query entering
Sep 14 05:29:14 home sshd[27452]: debug3: ssh_msg_recv entering
...

20 segundos de atraso: 

Sep 14 05:29:34 home sshd[27454]: debug3: PAM: sshpam_thread_conv entering, 1 messages
Sep 14 05:29:34 home sshd[27454]: debug3: ssh_msg_send: type 1
Sep 14 05:29:34 home sshd[27454]: debug3: ssh_msg_recv entering
Sep 14 05:29:34 home sshd[27452]: debug3: mm_request_send entering: type 107
Sep 14 05:29:34 home sshd[27452]: debug3: mm_sshpam_query: pam_query returned 0 [preauth]
Sep 14 05:29:34 home sshd[27452]: Postponed keyboard-interactive for ********* from ::1 port 55653 ssh2 [preauth].

Eu já segui os tópicos comuns para atrasos de login do SSH, nenhum deles forneceu soluções para corrigir o problema. Eu só posso deduzir que o SSH provavelmente está esperando por uma resposta do PAM (PAM: sshpam_thread_conv)? O NSCD está em execução e está armazenando em cache o passwd. Para a vida eu, eu não posso dizer bem o atraso pode ser em termos de PAM e pam_ldap.so. Qualquer ajuda seria útil.

P.S. Eu não tenho nenhuma configuração complicada do PAM, 'pam_unix e pam_ldap'

    
por Horace 14.09.2013 / 11:59

1 resposta

1

Por sorte, depois de várias horas brincando com esses problemas, pude resolver esse problema desagradável. Parece que o nome do host do sistema está entrelaçado em tudo que você faz no Linux e aparece antes das bibliotecas ldap do cliente conectando-se ao servidor, ele faz uma pesquisa direta no nome do host do servidor.

Eu fiz TCPDUMP e parece que o servidor DNS estava retornando um erro Format porque a string de consulta era inválida. Parece que o Linux não funciona bem com nomes de host com vários sub-domínios, ie home.s2.lhprojects.net , em vez disso estava fazendo uma pesquisa direta em home. lhprojects.net Um comportamento estranho, mas tenho certeza de que há uma boa razão para isso.

A simples adição de 127.0.0.1 home.s2.lhprojects.net a /etc/hosts resolveu-o. Obrigado mesmo assim.

    
por 18.09.2013 / 18:36

Tags

Falha de segmentação - Virtualbox qual é a gravidade do risco de danos por descarga eletrostática? [fechadas]