FreeRadius-GoogleAuthenticator-Kerberos Mudança de senha da esquisitice

1

Estamos usando o FreeRadius, o Kerberos e o Google Authenticator para implementar a autenticação de dois fatores. A autenticação de dois fatores funciona bem, tanto a partir do radtest quanto de um firewall do Watchguard. Para fazer login, um usuário digita a senha do Kerberos e concatena o PIN fornecido pelo Google Authenticator. O Radius usa o pam para falar com o GAuth e depois com o Kerberos. A pilha de pam é

/etc/pam.d/radiusd
    auth requisite pam_google_authenticator.so forward_pass
    auth required pam_krb5.so use_first_pass

A diretiva forward_pass informa ao pam_google_authenticator.so para retirar os seis caracteres, validá-los e passar a string restante para a próxima etapa como senha.

O problema surge quando uma diretiva Kerberos expira uma senha, exigindo uma redefinição (ou + needchange é definido no principal). Quando isso ocorre, o usuário não é notificado. Eles inserem suas senhas e marcam como normais e podem entrar. Algo no plano de fundo atualiza a senha do Kerberos para ser a senha antiga mais o pino anexado (por exemplo, mypasswrd123456). Eu verifiquei que essa nova senha existe no banco de dados Kerberos e pode ser usada para outras autenticações, mas é claro que você precisa perceber que a mudança ocorreu e salvar a string combinada. Não é provável que aconteça em produção.

Eu não consegui localizar o que está fazendo a alteração. A única mensagem de log é um reconhecimento de que a senha foi atualizada. Parece que o Kerberos deve estar alertando o Radius que uma mudança é necessária, Radius vê que tem uma senha nova e a repassa.

Eu tentei adicionar

   password required deny.so 

para /etc/pam.d/radiusd, mas isso não ajudou.

OS é Ubuntu e os pacotes foram instalados com o apt-get.

Quaisquer pensamentos apreciados.

    
por DASHbay 06.08.2014 / 22:53

0 respostas