50629 2024-06-13 10:32:22 +0300 Не работает аутентификация keyboard-interactive 2024-11-29 20:13:12 +0300 1 1 4 Development Sisyphus openssh-clients unstable all Linux NEW P5 enhancement --- 1 alexei.mezin glebfm bk glebfm iv klark ldv mike slev vt qa-sisyphus oldest_to_newest 247572 0 alexei.mezin 2024-06-13 10:32:22 +0300 На ssh-сервере включена двухфакторная аутентификация. Она требует keyboard-interactive, и сервер выдает этот метод в списке доступных. Но клиент из текущего Сизифа/p11 просто его игнорирует. Вот как это выглядит с хоста на Сизифе/p11 $ ssh -v -o PreferredAuthentications=keyboard-interactive 192.168.200.35 .... .... debug1: Authentications that can continue: publickey,password,keyboard-interactive debug1: No more authentication methods to try. ssh: alexei@192.168.200.35: Permission denied (publickey,password,keyboard-interactive). А вот как с хоста на p10: .... .... debug1: Authentications that can continue: publickey,password,keyboard-interactive debug1: Next authentication method: keyboard-interactive Password: debug1: Authentication succeeded (keyboard-interactive). Authenticated to 192.168.200.35 ([192.168.200.35]:22). CentOS 9, Ubuntu 24.04, Alpine - отовсюду работает. Пересобранный тарбол с официального сайта тоже работает. 248612 1 alexei.mezin 2024-07-07 18:43:21 +0300 ping 248618 2 slev 2024-07-08 12:03:04 +0300 duplicate https://bugzilla.altlinux.org/38977 ? 248624 3 alexei.mezin 2024-07-08 14:28:27 +0300 (Ответ для Stanislav Levin на комментарий #2) > duplicate https://bugzilla.altlinux.org/38977 ? Нет. Это разные ошибки. Предыдущая - про наши специфические настройки PAM. А это про неработающий keyboard-interactive в ssh. 248757 4 alexei.mezin 2024-07-12 10:57:58 +0300 Ах вот оно как: в 2007 ldv@ в commit 6a5aacc6898959f5ec33118b6212fab0f9afc80d поменял дефолтные значения настроек, в частности yes->no для KbdInteractiveAuthentication в ssh_config. Да только это исправление почему-то не применялось, например, в p10. И в коммите исправляется код и текст в ssh_config.5, но не дописывается комментарий с дефолтным значением в конфигурационный файл. В итоге в p10 поведение ssh соотвествует апстриму и другим дистрибутивам, и все работает. А потом вдруг через 10+ лет всплывает старый коммит, который меняет дефолты втихую, не попадет в changelog пакета, и ломает работу системы при переезде p10-p11. :( 248758 5 alexei.mezin 2024-07-12 11:00:23 +0300 Нужно отобразить изменение дефолтного поведение в changelog. И дописать в ssh_config строку # KbdInteractiveAuthentication no Чтоб пользователи видели, что по умолчанию у нас поведение, отличающееся от апстрима. 255332 6 mike 2024-11-29 20:13:12 +0300 (Ответ для Alexei V. Mezin на комментарий #5) > Нужно отобразить изменение дефолтного поведение в changelog. > И дописать в ssh_config строку > > # KbdInteractiveAuthentication no > > Чтоб пользователи видели, что по умолчанию у нас поведение, > отличающееся от апстрима. Это изменение стоит сперва сделать в sisyphus, а затем уж переносить в p11.