Netware 6.5 SP8 + OpenSSH

[res]

Всем привет!

Пытаюсь поднять на Netware 6.5SP8 (eDir 8.8 SP5 20506.07) OpenSSH.
Установил продукт, поставил обновление NWsshd8b - вроде как последнее.
В конфиге изменил только Protocol 2, а так же edirAliasUserNames и eDirNameContext.

При подключении ошибка на клиенте: Access denied
В логе:

27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> error: Search for user username in context ou=TEST,o=TREE failed with error Can't contact LDAP server, continuing search
27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> error: Search for user username in context ou=TEST,o=TREE failed with error Can't contact LDAP server, continuing search
27 May - 10:01:13[0000735509] (a9e871a0)SSHD Session <1> : Failed password for username from <IP> port 62777 ssh2

Вывод dstrace при включенном auth и ldap:

Monitor 0x1cd initiating TLS handshake on connection 0x783c49c0
(127.0.0.1:2347)(0x0000:0x00) DoTLSHandshake on connection 0x783c49c0
(127.0.0.1:2347)(0x0000:0x00) TLS accept failure 5 on connection 0x783c49c0, setting err = -5875. Error stack:
(127.0.0.1:2347)(0x0000:0x00) TLS handshake failed on connection 0x783c49c0, err = -5875
Server closing connection 0x783c49c0, socket error = -5875
Connection 0x783c49c0 closed

Погуглил на предмет TLS accept failure 5 - похоже ошибка при проверке сертификата при подключении к LDAP.
LDAP развернут и давно успешно функционирует на этом сервере. Настроен на SSL подключение с proxy user. Через LDAP у меня авторизуется, например почта. Сертификат на LDAP не прокис (выпускал новый в этом году), корневой сертификат так же в норме.
sys:/public/rootcert.der - актуальный корневой сертификат.
Тестирование с консоли сервера:
lsearch -v -h localhost -p 636 -e sys:\public\rootcert.der (cn=username)
проходит.

Пробовал в конфиге sshd указывать директиву:
ldapauthhost 127.0.0.1 636 secure <путь к сертификату>
Подставлял разные выгруженные сертификаты - не помогало, результат тот же. Поэтому сейчас она закоментирована.

Подскажите, плз., куда еще копать?

[Alex-M]

1) Для прокси юзера нужны права на дерево для чтения соотв. атрибутов (Compare, Read, Browse) - в документации по NWSSHD.
2) Лично я перегенерил ключи RSA/DSA/DSA2 утилитой ssh-kgen на макс. битность, согласно документации.
3) Вот рабочий конфиг sshd, за исключением заблокированного шелла (используется только sftp):

Код: Выделить всё

#   $OpenBSD: sshd_config,v 1.56 2002/06/20 23:37:12 markus Exp $
# NWConfVersion = 21

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 22
Protocol 2
ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
HostKey /etc/ssh/ssh_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_rsa_key
HostKey /etc/ssh/ssh_dsa_key

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
LogLevel INFO
LogPath sys:/etc/ssh/logs
LogMaxRotateFiles 7
LogMaxFileSize 4
LogRotationInterval 24

# Authentication:

LoginGraceTime 60
PermitRootLogin no
StrictModes yes
IgnoreRhosts yes
DenyUsers admin anonymous

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/keys/authorized_keys

# Change to yes if you don't trust /etc/ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes

ClientAliveInterval 10
ClientAliveCountMax   6
KeepAlive yes
Compression yes
AllowTcpForwarding no
GatewayPorts no
VerifyReverseMapping no

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem   sftp   SYS:/SYSTEM/sftp-svr.nlm

#eDir (Novell Directory Services) specific options
eDirNameContext O=***?scope=subtree

# Multi server navigation, default yes
#  yes, path is /servername/volume/dirpath
#  no, path is /volume/dirpath
DoSFTPMultiServerNavigation yes

ldaptimeout    10

# Ignore users home dir unless on destination server, default no
IgnoreRemoteHomeDir no

# Proxy user and password for ldap searches, useful when
# anon binds are disabled. Name must be fully qualified
ProxyName cn=***,ou=***,o=***
ProxyPassword ******

# Allow SSH console session access, default yes
AllowSSHSessions no

# Restrict users to their home directory and below, default no
RestrictToHomeDir no

# File that contains list of users that are not restricted
UnrestrictFile /etc/ssh/unrestrict.txt

# Ignore all eDir home directory settings, use defaults settings, default no
IgnoreAllHomeDir no

# Default settings for user without a home directory
#  or when IgnoreAllHomeDir is yes, no defaults
DefaultUserHomeDir /public
DefaultUserHomeVolume sys
DefaultUserHomeServer web

# File name transactions are done using UTF8
#  default no
SSHDSendUTF8FileNames yes
               
# UTF8 file names to clients in this space separated aware list if
#  SSHDSendUTF8FileNames is 'yes'. If SSHDSendUTF8FileNames 'yes' and
#   this list is empty then all clients are considered UTF8 aware.
#UTF8AwareClients WinSCP_release_3.7.6

# Space separated list of CommonName:FullDistinguishName pairs. Common name
#  used during login will be converted to the FDN for authentication purposes.
# No default, maximum of 16
#edirAliasUserNames jack:cn=jack,o=novell ron:cn=ron,o=novell


[res]

В документации не нашел какие атрибуты eDir нужны для openssh (смотрю mgmt_openssh_nw.pdf "OpenSSH Administration Guide" от 09.11.2009), но т.к. у меня авторизация по LDAP работает (авторизуется почта и пара серверов на FreeBSD), то думаю, что с атрибутами должно быть все в порядке.
Конфиг у меня практически такой же, но для чистоты эксперимента скопировал ваш и проверил - то же самое.
Кстати в вашем конфиге можно убрать параметры:
HostKey /etc/ssh/ssh_key - т.к. запрещен протокол версии 1
VerifyReverseMapping no - при старте sshd ругается на этот параметр как на deprecated

В общем проблема пока не решена.

[Alex-M]

Есть дока номер 7004511 - Quick Start -- Installing and configuring NetWare OpenSSH. Из неё ведут ссылки на дополнительные доки.
Ещё вот: 10095840 - NetWare OpenSSH authentication - behind the scenes. Там, кстати, вроде упоминается, какие атрибуты нужны. Я, правда, не парился и сделал RC и B на All для прокси-юзера.
Попробуйте всё-таки проверить читаемость атрибутов, например утилитой LDAPbrowser в режиме указания пользователя для доступа к дереву (не анонимус бинд). Он должен возвращать больше атрибутов, чем в режиме анонимус бинд. Как минимум - cn, uid, sec-equal, group-membership.
Попробуйте включить дебаг ssh и посмотреть подробнее.

[res]

Добрый день!

Quick start видел и имел его ввиду при настройке. За 10095840 спасибо.
Есть еще хороший TID 3297445 о настройке авторизации по ключам, но у меня дело до него не дошло.

Все перепроверил: устанавливал прокси юзеру [All Attributes Rights] и [Entry Rights] в CRB, ставил прокси юзером администратора - без изменений. Та же ошибка. В LDAP browser и в ldapsearch все атрибуты видны (cn, uniqueid и проч.) и при анонимном бинде и когда администратором биндишься.
Все таки склоняюсь что какая-то проблема с сертификатами. Хотя все доступные варианты сертификатов уже попробовал.
Мысли закончились.

[res]

Кажется есть зацепка: в первом посте я писал, что тестировал с помощью lsearch с консоли сервера и все проходило нормально. Сейчас наткнулся на llsearch.nlm, проверил с помощью этой утилиты и получил такую же ошибку как в sshd.

[res]

Насколько я понимаю разница между llsearch и lsearch в том что первая собрана с использованием libc, а вторая с clib.
Может у меня какая-то древняя версия libc?
libc.nlm (от 03.10.2008 1350038 байт) версия 9.00.05
Какая сейчас последняя версия и где ее взять?

Добавлено:
Вряд ли дело в libc, скорее проблема в lldapssl, думаю что именно эта библиотека осуществляет подключение по SSL с LDAP.
У меня стоит версия из "eDirectory 8.8 SP5 Patch6 Hotfix2 for NetWare" - версия 3.05.01 от 17.06.2014.
Может стоит откатить?

[Alex-M]

CLIB.NLM -- version 5.90.15; March 10, 2008; size 67176 bytes.
LIBC.NLM -- version 9.00.05; October 3, 2008; size 1350038 bytes.
SSHD.NLM -- version 3.71.09; March 7, 2011; size 817211 bytes.
LLDAPSSL.NLM -- version 3.05.01; October 22, 2008; size 899110 bytes.

Server version -- 5.70.08, August 21, 2009
eDir version -- 8.8 SP4 SMP
NDS version -- 20217.06, November 4, 2008

Сервер ставился с NW65SP8 overlay DVD, затем постфиксы на отдельные модули. На eDir отдельные фиксы не ставил.
А PKIDIAG не ругается, ошибок не видит?

[res]

Версии clib, libc, sshd, lldapssl у меня аналогичные.
Версия сервера то же 5.70.08 только от 03.10.2008. Может какого-то обновления не стоит ...
eDir у меня 8.8 SP5 с последними патчами.
pkidiag ошибок не выдает.

Вчера откатывал lldapssl, nldap, sshd на предыдущие версии - проблема осталась.

[Alex-M]

Попробуйте перегенерить ключи ssh утилитой ssh-kgen.nlm (вроде так) на макс. битность.
...
Гм, на просторах интернетов наткнулся на вот такую доку: 7004446 -- "Access Denied" when trying to authenticate with SSHD.NLM.
Что навело на мысль -- а проверьте, плиз, на SYS все каталоги на наличие старых копий rootcert.der. Ну и проверьте заодно корректность настройки всей цепочки LDAP:
1) Server -- в свойствах должны быть все IP адреса и порты сервисов, запущенных на нём (в частности ldaps),
2) LDAP server -- должна быть привязка к группе, д.б. включён ssl с корректным сертификатом,
3) LDAP group -- должна быть привязка к серверу.
DSREPAIR ни на что не ругается? В Advanced Options | Servers known... все сервера Up и с правильными адресами?