Double authentification avec lightdm (google-authenticator) Le sujet est résolu

Demande d'aide : c'est ici.
Répondre
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

Salut à tous,

Sur une SID, à jour... :spiteful:
J'essaye d'implémenter la double authentification à l'aide du connecteur google-authenticator

Code : Tout sélectionner

# apt policy libpam-google-authenticator
libpam-google-authenticator:
  Installé : 20191231-2
  Candidat : 20191231-2
 Table de version :
 *** 20191231-2 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages
        500 http://deb.debian.org/debian testing/main amd64 Packages
        500 http://deb.debian.org/debian unstable/main amd64 Packages
        100 /var/lib/dpkg/status
     20170702-2 500
        500 http://deb.debian.org/debian buster/main amd64 Packages
J'ai bien suivi tout le process de création des codes de sécurité avec le commande google-authenticator
Et j'ai bien scanné le qrcode qui m'a été proposé dans la console (C'est rigolo d'ailleurs...) avec mon application Android.

Activation dans lightdm par ajout de cette ligne:

Code : Tout sélectionner

auth requise pam_google_authenticator.so nullok
Dans /etc/pam.d/lightdm

Il semble que ça fonctionne:
Loginscreen_1.png
Loginscreen_2.png
Sauf que les codes générés par l'application semblent ne pas fonctionner...
"Your password is incorrect. Please try again"
Et cela ne fonctionne pas non plus avec les codes de secours générés à la mise en place et contenus dans /home/laurent/.google_authenticator

Code : Tout sélectionner

-r--------   1 laurent laurent   165 15 nov.  11:16 .google_authenticator
Par contre le code utilisé est bien enlevé de la liste... :lol:

J'ai comme seule indication les logs de auth...

Code : Tout sélectionner

2022-11-15T11:16:11.999937+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
2022-11-15T11:16:14.982847+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
2022-11-15T11:16:16.853854+03:00 nux lightdm: gkr-pam: unable to locate daemon control file
2022-11-15T11:16:16.853912+03:00 nux lightdm: gkr-pam: stashed password to try later in open session
2022-11-15T11:16:21.935221+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
2022-11-15T11:16:31.442288+03:00 nux lightdm: pam_unix(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=laurent
2022-11-15T11:16:33.588754+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
2022-11-15T11:16:49.827545+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
2022-11-15T11:16:52.839152+03:00 nux lightdm: gkr-pam: unable to locate daemon control file
2022-11-15T11:16:52.839203+03:00 nux lightdm: gkr-pam: stashed password to try later in open session
2022-11-15T11:16:59.854625+03:00 nux lightdm(pam_google_authenticator)[363242]: Accepted google_authenticator for laurent
2022-11-15T11:17:01.857296+03:00 nux lightdm: PAM pam_parse: expecting return value; [...requise]
...

Merci d'avance pour vos idées lumineuses.
Bien entendu inutile de me dire que Google c'est :diablo: je le sais déjà...
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

Hello,

Je viens de réaliser que ça ne peut pas fonctionner tel quel avec mon /home/laurent chiffré... :003:

Je vais chercher un contournement (Ou une ruse de sioux!)
Sauf si vous avez la solution toute prête auquel cas je suis preneur... :wink:
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

Re,

J'espérais qu'en mettant le fichier dans un endroit accessible ça règlerait le problème:
Le fichier .google_authenticator est placé dans /home/.ga/laurent/ et m'appartient.
Il est donc lisible avant que le /home ne soit déchiffré.

Code : Tout sélectionner

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
mv $HOME/.google_authenticator /home/.ga/$USER
Mais non.
C'est même pire car lightdm ne reconnait même plus mon mot de passe de session... :sad:
Loginscreen_3.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

Re,

Triple buse que je suis... évidemment!
Ça fonctionne en précisant l'endroit ou se trouve le fichier...

Code : Tout sélectionner

auth required pam_google_authenticator.so secret=/home/.ga/laurent/.google_authenticator
Maintenant que je l'ai fait fonctionner je vais pouvoir l'implémenter sur SSH! :good:
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Par quel moyen récupères-tu le code à usage unique ?
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

Salut,
dezix a écrit : 15 nov. 2022, 10:47Par quel moyen récupères-tu le code à usage unique ?

Avec une application Android (Sur mon téléphone).
J'utilise Authy (Qui à l'avantage de pouvoir se synchroniser sur plusieurs appareils (Je l'ai donc sur ma Tablette avec les même accès)

Il y en a plein d'autres (FreeOTP, 2FAS Auth, Authenticator de Google évidemment... :diablo: )
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Donc ça impose d'avoir de la connexion (2x) ... sinon tu restes à la porte de chez toi... :017:

Tu deviens complètement dépendant de 2 réseaux c'est un peu gênant :icon_biggrin:
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 4958
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : En ligne

dezix a écrit : 15 nov. 2022, 11:20 Donc ça impose d'avoir de la connexion (2x) ... sinon tu restes à la porte de chez toi... :017:

Tu deviens complètement dépendant de 2 réseaux c'est un peu gênant :icon_biggrin:

Non car il y a des codes de secours (Si jamais tu n'as pas ton téléphone ou pas de data sur ton téléphone).
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

lol a écrit : 15 nov. 2022, 11:26 Non car il y a des codes de secours
Merci pour ce retour... c'est rassurant

@+
**Simple Utilisateur** -- Debian stable - XFCE
Répondre