• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

FreeIPA 4.8.7 + YubiKey TOTP: SSH-Login funktioniert, aber kinit schlägt mit Fehler

Laytman

Laytman

Hallo zusammen :cool:

ich teste derzeit die Integration von FreeIPA 4.8.7 zusammen mit 2FA auf Basis von YubiKey TOTP und bin dabei auf ein Verhalten gestoßen, das ich nicht vollständig verstehe.

Die Umgebung ist relativ einfach:
  • FreeIPA 4.8.7
  • IPA-Clients auf Ubuntu 16–24 und Linux Mint
  • OTP direkt im FreeIPA-Benutzerkonto konfiguriert
  • YubiKey wird als TOTP-Quelle verwendet
Interessant ist, dass die interaktive Authentifizierung selbst korrekt funktioniert. Wenn ich mich zum Beispiel per SSH mit meinem LDAP-/IPA-Account auf dem IPA-Server anmelde, verhält sich die Authentifizierung genau wie erwartet:
  1. erster Faktor: Passwort
  2. zweiter Faktor: OTP
Der Login ist ohne Probleme erfolgreich. Auch die PAM-/SSSD-Authentifizierung scheint normal zu funktionieren. Wenn ich jedoch versuche, manuell ein Kerberos-Ticket mit folgendem Befehl zu erhalten 'kinit user'. Erhalte ich dauerhaft folgende Fehlermeldung: allgemeiner Fehlschlag der Vorauthentifizierung bei Anfängliche Anmeldedaten werden geholt. Verwirrend ist, dass der SSH-Login mit 2FA funktioniert, der Bezug eines Kerberos-Tickets über kinit jedoch nicht :rolleyes:
Als temporären Workaround musste ich 2FA für den administrativen Account deaktivieren, um Operationen wie die folgenden ausführen zu können:
  • ipa service-add
  • ipa-getkeytab
  • ipa-client-install
Nach dem Deaktivieren von 2FA funktionierte kinit sofort wieder normal.

Aktuell versuche ich zu verstehen, ob es sich hierbei um Folgendes handelt:
  • erwartetes Verhalten von FreeIPA/Kerberos,
  • eine Einschränkung der OTP-Unterstützung in kinit,
  • ein Problem im Zusammenhang mit älteren Versionen von krb5/SSSD/ipa-client auf Ubuntu 16/18,
  • oder eine fehlende Kerberos-OTP-Pre-Auth-Konfiguration.
Ich wäre sehr dankbar für Hinweise von Personen, die FreeIPA zusammen mit OTP/YubiKey bereits produktiv einsetzen.

Besonders interessieren mich folgende Punkte:
  • Wie werden administrative IPA-Operationen normalerweise gehandhabt, wenn 2FA erzwungen wird?
  • Sollte kinit grundsätzlich mit Passwort + OTP funktionieren?
  • Was ist der empfohlene sichere Ansatz, ohne 2FA temporär deaktivieren zu müssen?
Vielen Dank im Voraus.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben