Bug 50629 - Не работает аутентификация keyboard-interactive
Summary: Не работает аутентификация keyboard-interactive
Status: UNCONFIRMED
Alias: None
Product: Branch p11
Classification: Unclassified
Component: openssh-clients (show other bugs)
Version: unspecified
Hardware: x86_64 Linux
: P5 enhancement
Assignee: qa-team@altlinux.org
QA Contact: qa-p11@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-06-13 10:32 MSK by Alexei V. Mezin
Modified: 2024-07-12 11:00 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Alexei V. Mezin 2024-06-13 10:32:22 MSK 
На ssh-сервере включена двухфакторная аутентификация. Она требует keyboard-interactive, и сервер выдает этот метод в списке доступных. Но клиент из текущего Сизифа/p11 просто его игнорирует.

Вот как это выглядит с хоста на Сизифе/p11

$ ssh -v -o PreferredAuthentications=keyboard-interactive 192.168.200.35
....
....
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: No more authentication methods to try.
ssh: alexei@192.168.200.35: Permission denied (publickey,password,keyboard-interactive).


А вот как с хоста на p10:
....
....
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password: 
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.200.35 ([192.168.200.35]:22).


CentOS 9, Ubuntu 24.04, Alpine - отовсюду работает. Пересобранный тарбол с официального сайта тоже работает.
Comment 1 Alexei V. Mezin 2024-07-07 18:43:21 MSK 
ping
Comment 2 Stanislav Levin 2024-07-08 12:03:04 MSK 
duplicate https://bugzilla.altlinux.org/38977 ?
Comment 3 Alexei V. Mezin 2024-07-08 14:28:27 MSK 
(Ответ для Stanislav Levin на комментарий #2)
> duplicate https://bugzilla.altlinux.org/38977 ?


Нет. Это разные ошибки. Предыдущая - про наши специфические настройки PAM. А это про неработающий keyboard-interactive в ssh.
Comment 4 Alexei V. Mezin 2024-07-12 10:57:58 MSK 
Ах вот оно как:

в 2007 ldv@ в commit 6a5aacc6898959f5ec33118b6212fab0f9afc80d поменял дефолтные значения настроек, в частности yes->no для KbdInteractiveAuthentication в ssh_config.

Да только это исправление почему-то не применялось, например, в p10. И в коммите исправляется код и текст в ssh_config.5, но не дописывается комментарий с дефолтным значением в конфигурационный файл. В итоге в p10 поведение ssh соотвествует апстриму и другим дистрибутивам, и все работает.

А потом вдруг через 10+ лет всплывает старый коммит, который меняет дефолты втихую, не попадет в changelog пакета, и ломает работу системы при переезде p10-p11. :(
Comment 5 Alexei V. Mezin 2024-07-12 11:00:23 MSK 
Нужно отобразить изменение дефолтного поведение в changelog. И дописать в ssh_config строку

# KbdInteractiveAuthentication no

Чтоб пользователи видели, что по умолчанию у нас поведение, отличающееся от апстрима.