“Connexion fermée par [IP de l'HÔTE]” à l'aide de clés dsa authentification

Je partage un /home de l'installation à l'aide de Perceus Logiciel de Cluster (http://perceus.org) pour notre Cluster. Les nœuds utilisent CentOS 6.1 x86_64.
/la maison est partagée à partir de la tête aux nœuds par nfs (NFSv4).

root@head~]$ cat /etc/exports 
/var/lib/perceus/10.10.10.0/255.255.255.0(ro,no_root_squash,async)
/home/10.10.10.0/255.255.255.0(rw,no_root_squash,no_all_squash,async)

Voici le fichier /etc/fstab sur chaque nœud (tout de même).

...
10.10.10.2:/var/lib/perceus//var/lib/perceus/nfs ro,soft,bg 0 0
10.10.10.2:/home//home nfs rw,soft,bg 0 0

/etc/fstab sur les nœuds est une copie de la tête/master avec le même UID:GID.

J'ai créé des paires de clés à l'aide de la méthode suivante:

$ cd ~
$ rm -rf .ssh
$ mkdir .ssh
$ chmod 700 .ssh
$ ssh-keygen -t dsa -P ""
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/user/.ssh/id_dsa.pub.
The key fingerprint is:
[SNIPPED] user@head
The key's randomart image is:
+--[ DSA 1024]----+
[SNIPPED]
$ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
$ chmod 400 ~/.ssh/authorized_keys

Là est le problème. Quand j'essaie de faire un ssh sur chaque nœud, je suis une "fermeture de la Connexion" erreur. Voici la sortie de débogage.

$ ssh node01
Connection closed by 10.10.10.101

$ ssh node01 -vvv
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to node01 [10.10.10.101] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug3: Not a RSA1 key file /home/user/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
.... SNIPPED ...
debug2: dh_gen_key: priv key bits set: 139/256
debug2: bits set: 482/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: Wrote 144 bytes for a total of 981
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 1
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 1
debug1: Host 'node01' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug2: bits set: 501/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: Wrote 16 bytes for a total of 997
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug3: Wrote 48 bytes for a total of 1045
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/user/.ssh/identity ((nil))
debug2: key: /home/user/.ssh/id_rsa ((nil))
debug2: key: /home/user/.ssh/id_dsa (0x7f79b940f650)
debug3: Wrote 64 bytes for a total of 1109
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
... [SNIPPED]...
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug3: no such identity: /home/user/.ssh/identity
debug1: Trying private key: /home/user/.ssh/id_rsa
debug3: no such identity: /home/user/.ssh/id_rsa
debug1: Offering public key: /home/user/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug3: Wrote 528 bytes for a total of 1637
debug1: Server accepts key: pkalg ssh-dss blen 434
debug2: input_userauth_pk_ok: SHA1 fp 46:a2:c3:86...........
debug3: sign_and_send_pubkey
debug1: read PEM private key done: type DSA
debug3: Wrote 592 bytes for a total of 2229
Connection closed by 10.10.10.101

J'ai s'assurer que /etc/ssh/sshd_config permet basée sur une clé d'authentification (PubkeyAuthentication yes).
J'ai fait en sorte que le les permissions sur /home (une fois monté sur les nœuds) est correct. Les utilisateurs sont correctement authentifié.
J'ai essayé de montage nfs avec et sans "no_all_squash" le redémarrage de nfs, rpcidmap, rpcbind et nfslock.

J'ai eu ce travail avec CentOS5 installé sur les nœuds avec un autre maître/tête de nœud. CentOS6 semble juste être me donner d'autres problèmes avec cette.

Si je n'ai pas créer la clé, bien sûr, je suis invité pour un mot de passe.

Mes hôtes.allow/deny sont vides sur les clients et le serveur.

L'utilisateur root peut se connecter. Perceus poignées de la génération de la clé de l'utilisateur root, car il fait partie du système de fichiers virtuel. Je devine que quelque chose est incorrect avec la génération de ma clé, mais je n'arrive pas à comprendre quel est le problème.

jetez un oeil à /var/log/secure* lorsque vous vous connectez
Trouvé: fatal: Access denied for user user by PAM account configuration

OriginalL'auteur qtipp | 2012-04-10

openssh ssh

13

La bonne solutions pour résoudre le problème, de ne pas désactiver le pam d'utilisation, comme vous pourriez être en cacher un problème de sécurité.

ssh est un échec parce que PAM est nier le login de l'utilisateur par défaut de certaines vérifier.
De vérifier la /etc/pam.d/sshd pour que les règles que vous avez et ce qui pourrait être un échec.

la plus commune est un utilisateur sans mot de passe (comparer les /etc/passwd avec /etc/shadow, ou vérifier votre /etc/nsswitch et /etc/pam.d/* pour voir où les utilisateurs et les auth), mais aussi pas de répertoire de base, manquant de certaines supplémentaires auth configuration, UID trop bas ou trop élevé, etc.

Si sa le mot manquant, au moins assurez-vous que vous avez cela dans le /etc/ssh/sshd_config
```
PermitEmptyPasswords no
```
Cela bloque ssh pour permettre la connexion sur les utilisateurs sans mot de passe (mais ne fait rien pour les autres protocoles, tels que telnet, ftp, http et de connexion).

Merci pour votre réponse!!! J'ai demandé pourquoi un utilisateur spécifique (gpadmin) ne pouvait pas en ssh sur localhost, tout le reste en .ssh être mis en place correctement avec les bonnes autorisations, il s'avère que c'était un sans mot de passe de l'utilisateur. J'ai juste fait sudo passwd gpadmin et maintenant que l'utilisateur peut ssh localhost comme tout le monde.
Je vous remercie pour votre réponse. Je viens de créé un utilisateur dans /etc/passwd, mais pas dans /etc/shadow ...
gee, vous avez fait ma journée: comment ist possible qu'un mot de passe est nécessaire pour un mot de passe de moins en moins de connexion ... ?
le problème est que PAM nécessitant une entrée de mot de passe dans /etc/shadow (même le champ mot de passe dans ce fichier est vide) pour valider l'utilisateur. Qui est, le problème est d'une validation de l'utilisateur, pas vraiment un problème de mot de passe. 🙂
"la plus commune est un utilisateur sans mot de passe", c'était ça...

OriginalL'auteur higuita
4

SOLUTION:

En suivant les conseils ci-dessous, j'ai vérifié /var/log/security sur le nœud (hôte). Il a montré:
```
fatal: Access denied for user user by PAM account configuration
```
J'ai ensuite édité /etc/ssh/sshd_config en train de changer:
```
UsePAM yes
```
à
```
UsePAM no
```
Redémarré le nœud et je peux maintenant effectuer le mot de passe de moins en moins de connexions.

Merci!

OriginalL'auteur qtipp
1

Il n'est pas bon d'utiliser une sans mot de passe d'autorisation.
Est selinux activé sur ces serveurs? Si oui, alors vous devez soit désactiver selinux, ou restaurer les paramètres par défaut politiques selinux par "restorecon -R -v /home/utilisateur/.
C'est un problème connu

OriginalL'auteur Theodor
1

J'ai eu un problème similaire au vôtre.

Il s'avère que mon problème, et éventuellement la vôtre, a été causé parce que mon répertoire home est un NFS de montage, et selinux (sur CentOS 7) jetait quelques erreurs (qui étaient assez difficiles à dépister). Le correctif a été simples.
```
setsebool -P use_nfs_home_dirs 1
```
OriginalL'auteur Simon
0

Dans mon cas, je n'ai pas créé l'utilisateur à l'aide de la commande useradd, au lieu de cela, j'ai ajouté l'utilisateur dans le fichier /etc/passwd et créé le répertoire personnel de l'utilisateur avec tous les fichiers requis.

Après l'utilisation de la commande useradd pour créer l'utilisateur et l'ajout de la pub clés pour le fichier authorized_keys après la création .ssh répertoire dans le répertoire home de l'utilisateur, la question ai résolu.

Par la façon dont j'utilise centos 7

Espère que cela aide certains.

OriginalL'auteur Sunil Dias
0

Pour moi, j'avais corrompu pam.d fichiers. J'ai copié dans un nouveau jeu à partir d'un serveur similaire et tout allait bien à nouveau. Je n'ai pas pris le temps de regarder pour la corruption, mais pensé que je voudrais ajouter mes 2 bits dans le cas où quelqu'un lit ceci dans le futur et a besoin de quelques autres idées.

OriginalL'auteur jdh239

Vous devez vous connecter pour publier un commentaire.

SOLUTION: