Bug 50629

Summary: Не работает аутентификация keyboard-interactive
Product: Branch p11 Reporter: Alexei V. Mezin <alexei.mezin>
Component: openssh-clientsAssignee: qa-team <qa-team>
Status: UNCONFIRMED --- QA Contact: qa-p11 <qa-p11>
Severity: enhancement    
Priority: P5 CC: bk, iv, klark, slev
Version: unspecified   
Hardware: x86_64   
OS: Linux   

Description Alexei V. Mezin 2024-06-13 10:32:22 MSK 
На ssh-сервере включена двухфакторная аутентификация. Она требует keyboard-interactive, и сервер выдает этот метод в списке доступных. Но клиент из текущего Сизифа/p11 просто его игнорирует.

Вот как это выглядит с хоста на Сизифе/p11

$ ssh -v -o PreferredAuthentications=keyboard-interactive 192.168.200.35
....
....
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: No more authentication methods to try.
ssh: alexei@192.168.200.35: Permission denied (publickey,password,keyboard-interactive).


А вот как с хоста на p10:
....
....
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password: 
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.200.35 ([192.168.200.35]:22).


CentOS 9, Ubuntu 24.04, Alpine - отовсюду работает. Пересобранный тарбол с официального сайта тоже работает.
Comment 1 Alexei V. Mezin 2024-07-07 18:43:21 MSK 
ping
Comment 2 Stanislav Levin 2024-07-08 12:03:04 MSK 
duplicate https://bugzilla.altlinux.org/38977 ?
Comment 3 Alexei V. Mezin 2024-07-08 14:28:27 MSK 
(Ответ для Stanislav Levin на комментарий #2)
> duplicate https://bugzilla.altlinux.org/38977 ?


Нет. Это разные ошибки. Предыдущая - про наши специфические настройки PAM. А это про неработающий keyboard-interactive в ssh.
Comment 4 Alexei V. Mezin 2024-07-12 10:57:58 MSK 
Ах вот оно как:

в 2007 ldv@ в commit 6a5aacc6898959f5ec33118b6212fab0f9afc80d поменял дефолтные значения настроек, в частности yes->no для KbdInteractiveAuthentication в ssh_config.

Да только это исправление почему-то не применялось, например, в p10. И в коммите исправляется код и текст в ssh_config.5, но не дописывается комментарий с дефолтным значением в конфигурационный файл. В итоге в p10 поведение ssh соотвествует апстриму и другим дистрибутивам, и все работает.

А потом вдруг через 10+ лет всплывает старый коммит, который меняет дефолты втихую, не попадет в changelog пакета, и ломает работу системы при переезде p10-p11. :(
Comment 5 Alexei V. Mezin 2024-07-12 11:00:23 MSK 
Нужно отобразить изменение дефолтного поведение в changelog. И дописать в ssh_config строку

# KbdInteractiveAuthentication no

Чтоб пользователи видели, что по умолчанию у нас поведение, отличающееся от апстрима.