• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

FreeIPA 4.8.7 + YubiKey TOTP: SSH-Login funktioniert, aber kinit schlägt mit Fehler

Laytman

Laytman

Hallo zusammen :cool:

ich teste derzeit die Integration von FreeIPA 4.8.7 zusammen mit 2FA auf Basis von YubiKey TOTP und bin dabei auf ein Verhalten gestoßen, das ich nicht vollständig verstehe.

Die Umgebung ist relativ einfach:
  • FreeIPA 4.8.7
  • IPA-Clients auf Ubuntu 16–24 und Linux Mint
  • OTP direkt im FreeIPA-Benutzerkonto konfiguriert
  • YubiKey wird als TOTP-Quelle verwendet
Interessant ist, dass die interaktive Authentifizierung selbst korrekt funktioniert. Wenn ich mich zum Beispiel per SSH mit meinem LDAP-/IPA-Account auf dem IPA-Server anmelde, verhält sich die Authentifizierung genau wie erwartet:
  1. erster Faktor: Passwort
  2. zweiter Faktor: OTP
Der Login ist ohne Probleme erfolgreich. Auch die PAM-/SSSD-Authentifizierung scheint normal zu funktionieren. Wenn ich jedoch versuche, manuell ein Kerberos-Ticket mit folgendem Befehl zu erhalten 'kinit user'. Erhalte ich dauerhaft folgende Fehlermeldung: allgemeiner Fehlschlag der Vorauthentifizierung bei Anfängliche Anmeldedaten werden geholt. Verwirrend ist, dass der SSH-Login mit 2FA funktioniert, der Bezug eines Kerberos-Tickets über kinit jedoch nicht :rolleyes:
Als temporären Workaround musste ich 2FA für den administrativen Account deaktivieren, um Operationen wie die folgenden ausführen zu können:
  • ipa service-add
  • ipa-getkeytab
  • ipa-client-install
Nach dem Deaktivieren von 2FA funktionierte kinit sofort wieder normal.

Aktuell versuche ich zu verstehen, ob es sich hierbei um Folgendes handelt:
  • erwartetes Verhalten von FreeIPA/Kerberos,
  • eine Einschränkung der OTP-Unterstützung in kinit,
  • ein Problem im Zusammenhang mit älteren Versionen von krb5/SSSD/ipa-client auf Ubuntu 16/18,
  • oder eine fehlende Kerberos-OTP-Pre-Auth-Konfiguration.
Ich wäre sehr dankbar für Hinweise von Personen, die FreeIPA zusammen mit OTP/YubiKey bereits produktiv einsetzen.

Besonders interessieren mich folgende Punkte:
  • Wie werden administrative IPA-Operationen normalerweise gehandhabt, wenn 2FA erzwungen wird?
  • Sollte kinit grundsätzlich mit Passwort + OTP funktionieren?
  • Was ist der empfohlene sichere Ansatz, ohne 2FA temporär deaktivieren zu müssen?
Vielen Dank im Voraus.
 
susejunky

susejunky

Moderator
Teammitglied
@Laytman :

Herzlich willkommen im Linux-Club-Forum.

Um Dir den Einstieg hier zu erleichtern, nachfolgend ein paar Informationen und allgemeine Hinweise:

Das Linux-Club-Forum ist ein Ort an dem sich Benutzer unterschiedlichster Linux-Distributionen austauschen und versuchen sich gegenseitig zu unterstützen. Das Forum ist nicht auf eine spezielle Linux-Distribution ausgerichtet. Es ist offen, welche Linux-Distributionen von Forumsmitgliedern verwendet werden und somit ist auch offen, ob und wenn ja, wie viele Informationen zu einer Linux-Distribution (z.B. zu der von Dir verwendeten) Du hier im Forum finden kannst.

Ob ein von Dir angelegtes Thema von Anderen gelesen und ggf. sogar beantwortet wird, hängt stark von der Qualität Deiner Beiträge ab. Unter den folgenden Links findest Du Informationen, wie Du das Layout und den Inhalt Deiner Beiträge attraktiv gestalten kannst:

Layout
Inhalt

Darüber hinaus tragen ein korrekter Satzbau und eine ordentliche Rechtschreibung erheblich dazu bei, dass Dein Anliegen von den Lesern korrekt verstanden wird.

Es ist jederzeit möglich zu einem Thema (neu-deutsch: thread) einen weiteren Beitrag (neu-deutsch: post) hinzuzufügen. Beiträge (posts) können jedoch nur bis zu 24 Std. nach ihrer Erstellung vom Ersteller editiert werden. Danach können sie nur noch gelesen (oder von einem Administrator/Moderator editiert) werden.

Wenn Du ein Thema nicht nur im Linux-Club-Forum sondern auch in anderen Foren platzierst, dann sei bitte so fair und zeige in dem jeweiligen Linux-Club-Thema Links zu den den entsprechenden Beiträgen in den anderen Foren. Damit ermöglichst Du Allen, die sich an Deinem Thema beteiligen, sich stets den selben Informationsstand zu verschaffen.

Zu Deinem Problem kann ich leider nichts sagen, aber ich habe noch zwei Fragen:

Laytman schrieb:
IPA-Clients auf Ubuntu 16–24 und Linux Mint
Zum Vergrößern anklicken....
Welche Versionen von Ubuntu und Linux Mint sind das? Die mir bekannten, aktuellen Versionen sind Linux Mint 22.3 und Ubuntu 26.04 LTS.

Hast Du schon einmal versucht, ob die aktuelle Version von FreeIPA (4.13.1) das Problem löst?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben