Чуваки, вы не поверите что у меня случилось!
Внезапно сломалась на FreeBSD 9.0 авторизация по паролю в sshd. База пользователей - в LDAP, локально ldap-пользователь спокойно входит с паролем, удаленно но по ключу - тоже спокойно входит. А вот удаленный вход с паролем не получается, при этом SSHD не говорит ничего кроме:
Failed password for user from ip port 100500 ssh2
Feb 28 15:01:21 2013 php52-pdo_pgsql-5.2.17_11
Feb 28 15:00:08 2013 gettext-0.18.1.1
Feb 28 15:00:08 2013 php52-5.2.17_9
Feb 28 15:00:08 2013 php52-pdo-5.2.17_9
Feb 28 15:00:08 2013 postgresql-client-9.0.8
Feb 28 15:00:08 2013 libiconv-1.14
Feb 28 15:00:08 2013 libxml2-2.7.8_3
- /etc/nsswitch.conf
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
- /etc/ssh/sshd_config почти дефолтный, не закомментировано всего 3 строчки:
ClientAliveInterval 2400
UseDNS no
Subsystem sftp /usr/libexec/sftp-server
- /usr/local/etc/nss_ldap.conf
host localhost
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
base dc=server2,dc=root
ldap_version 3
binddn cn=admin,dc=root
bindpw ololopwd
scope one
timelimit 30
bind_timelimit 10
bind_policy soft
nss_connect_policy persist
nss_paged_results yes
pagesize 3000
# system users
nss_base_group ou=groups,dc=server2,dc=root?one
nss_base_passwd ou=users,dc=server2,dc=root?one
nss_base_shadow ou=users,dc=server2,dc=root?one
- /usr/local/etc/ldap.conf
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
ldap_version 3
bind_timelimit 30
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_min_uid 500
pam_max_uid 65530
pam_password SSHA
# system users
nss_base_group ou=groups,dc=server2,dc=root?one
nss_base_passwd ou=users,dc=server2,dc=root?one
nss_base_shadow ou=users,dc=server2,dc=root?one
- /etc/pam.d/sshd
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient /usr/local/lib/pam_ldap.so no_warn
auth required pam_unix.so no_warn try_first_pass
account required pam_nologin.so
account required pam_login_access.so
account sufficient /usr/local/lib/pam_ldap.so
account required pam_unix.so
session required pam_permit.so
password sufficient /usr/local/lib/pam_ldap.so no_warn
password required pam_unix.so no_warn try_first_pass
- /etc/pam.d/system (системный вход, напоминаю - работает)
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient /usr/local/lib/pam_ldap.so
auth required pam_unix.so no_warn try_first_pass nullok
account required pam_login_access.so
account sufficient /usr/local/lib/pam_ldap.so
account required pam_unix.so
session required pam_lastlog.so no_fail
password sufficient /usr/local/lib/pam_ldap.so
password required pam_unix.so no_warn try_first_pass
Даже не знаю приблизительного направления куда ковырять. И не уверен что сломалось из-за пересборки вышеуказанных пакетов. Более пакетов в системе не менялось до того момента пока все еще работало. Оракулы BSD, и волшебники PAM, обратите внимание на мою проблему плз.
