Проблемы Astra Linux 1.7.5+ и авторизации TOTP

slakwik · 16.Декабрь.2024 08:39:15

Добрый день, коллеги

На сервере FAM настроил синхронизацию с Free IPA, получил группы и пользователей: в ЛК пользователи зайти могут, получить ТОТР могут, всё ОК.
На ПК с ALSE 1.7.5.16 развернул модули авторизации, настроил fly-dm в pam.d.

Однако, при входе на ПК запроса ТОТР нет, а в журналах следующее:
сервер:

дек 16 11:34:48 ИМЯСЕРВЕРА idp[5235]: {"level":"debug","time":"2024-12-16T11:34:48+03:00","message":"session not found, creating a new one"}
дек 16 11:34:48 ИМЯСЕРВЕРА idp[5235]: {"level":"debug","time":"2024-12-16T11:34:48+03:00","message":"value was not stored: session data key is empty"}
дек 16 11:34:48 ИМЯСЕРВЕРА idp[5235]: {"level":"info","user id":"8249d432-***","time":"2024-12-16T11:34:48+03:00","message":"passed pwd factor successfully"}

ПК:

Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): pam_sm_authenticate: start pam version: 1.1.0.1
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): pam_sm_authenticate: dlopen
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): pam_sm_authenticate: dlsym
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): i am in pam_sm_authenticate: flags==
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): Config=[&{ApplicationName:flydm_pam_1 Args:map[app_name:flydm_pam_1 create_user:yes debug: default_user_group:avanpost grpc_address:10.195.23.159:9007 plugin_path:/usr/lib/avanpost_mfa/libPluginTokens.so] PluginPath:/usr/lib/avanpost_mfa/libPluginTokens.so DevicesLibPath: CreateUser:true DefaultUserGroups: DefectiveUI:false}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): FamClient initialized[{60000000000 10.195.23.159:9007 false   {0xc0000b20e0} 0xc0000b27b0}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): protocol(*grpc.FamClient) will be used
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): GetUserName("Логин: ")
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): ------- START AUTHENTICATE REQUEST --------
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): Fingerprint [agent=nixlogon; appVersion=1.0.1.2; os=linux; osVersion=6.1.50-1-generic; cpuId="Intel(R) Xeon(R) Gold 6248R CPU @ 3.00GHz"; computerName=ИМЯПК; deviceId=28cdb0311a11fda74c8289cc76cdb3cb6c2480a2]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): Set wait flag: false
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): request=[{Username:USERLOGIN Passcode: State: SessionID: ApplicationID:flydm_pam_1 Factor:Ошибка Metadata:map[X-User-Agent:agent=nixlogon; appVersion=1.0.1.2; os=linux; osVersion=6.1.50-1-generic; cpuId="Intel(R) Xeon(R) Gold 6248R CPU @ 3.00GHz"; computerName=ИМЯПК; deviceId=28cdb0311a11fda74c8289cc76cdb3cb6c2480a2 wait:false]}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): grpcResp=[factors:PASSWORD  state:"23c573b5-b3da-4a65-990b-4141a97fce06"  sessionID:"11013a8f-d077-4b27-9454-26f06172b365"  metadata:{key:"message"  value:""}  factors_display_names:{key:1  value:"Пароль"}  factors_display_names:{key:2  value:"TOTP"}  factors_display_names:{key:3  value:"Одноразовый код по SMS"}  factors_display_names:{key:4  value:"Авторизация по KERBEROS"}  factors_display_names:{key:5  value:"Аппаратный аутентификатор"}  factors_display_names:{key:6  value:"Одноразовый код по E-mail"}  factors_display_names:{key:7  value:"Мессенджер Telegram"}  factors_display_names:{key:8  value:"Мобильное приложение PayControl"}  factors_display_names:{key:9  value:"Мобильное приложение Avanpost"}  factors_display_names:{key:10  value:"QR Code"}  factors_display_names:{key:11  value:"Сертификат"}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): grpcRespMapped=[&{Status:AccessReject Factors:[Password] State:23c573b5-b3da-4a65-990b-4141a97fce06 SessionID:11013a8f-d077-4b27-9454-26f06172b365 Token: Metadata:map[message:] Credentials:[] RemainingAttemptsCount:0}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): ------- END AUTHENTICATE REQUEST --------
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): GetUserAuthTok("Пароль: ")
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): ------- START AUTHENTICATE REQUEST --------
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): Fingerprint [agent=nixlogon; appVersion=1.0.1.2; os=linux; osVersion=6.1.50-1-generic; cpuId="Intel(R) Xeon(R) Gold 6248R CPU @ 3.00GHz"; computerName=ИМЯПК; deviceId=28cdb0311a11fda74c8289cc76cdb3cb6c2480a2]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): Set wait flag: false
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): request=[{Username:USERLOGIN Passcode:***** State:23c573b5-b3da-4a65-990b-4141a97fce06 SessionID:11013a8f-d077-4b27-9454-26f06172b365 ApplicationID:flydm_pam_1 Factor:Password Metadata:map[X-User-Agent:agent=nixlogon; appVersion=1.0.1.2; os=linux; osVersion=6.1.50-1-generic; cpuId="Intel(R) Xeon(R) Gold 6248R CPU @ 3.00GHz"; computerName=ИМЯПК; deviceId=28cdb0311a11fda74c8289cc76cdb3cb6c2480a2 message: wait:false]}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): grpcResp=[status:AccessAccept  factors:PASSWORD  state:"23c573b5-b3da-4a65-990b-4141a97fce06"  sessionID:"11013a8f-d077-4b27-9454-26f06172b365"  metadata:{key:"message"  value:""}  userID:"\n$8249d432-e179-40cb-9b5f-6bf433f6deed"  factors_display_names:{key:1  value:"Пароль"}  factors_display_names:{key:2  value:"TOTP"}  factors_display_names:{key:3  value:"Одноразовый код по SMS"}  factors_display_names:{key:4  value:"Авторизация по KERBEROS"}  factors_display_names:{key:5  value:"Аппаратный аутентификатор"}  factors_display_names:{key:6  value:"Одноразовый код по E-mail"}  factors_display_names:{key:7  value:"Мессенджер Telegram"}  factors_display_names:{key:8  value:"Мобильное приложение PayControl"}  factors_display_names:{key:9  value:"Мобильное приложение Avanpost"}  factors_display_names:{key:10  value:"QR Code"}  factors_display_names:{key:11  value:"Сертификат"}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): grpcRespMapped=[&{Status:AccessAccept Factors:[Password] State:23c573b5-b3da-4a65-990b-4141a97fce06 SessionID:11013a8f-d077-4b27-9454-26f06172b365 Token: Metadata:map[message:] Credentials:[] RemainingAttemptsCount:0}]
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): ------- END AUTHENTICATE REQUEST --------
Dec 16 11:34:51 ИМЯПК useradd[19808]: failed adding user 'USERLOGIN', exit code: 9
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): There was an error by adding user USERLOGIN
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): **(*fam.Fam).Authenticate err: Handle err: exit status 9**
Dec 16 11:34:51 ИМЯПК fly-dm[14809]: :0[14809]: pam_avanpost_mfa(fly-dm:auth): pam_sm_authenticate: end

Без второго фактора на ПК пользователи прекрасно входят.
Журналы с логином пользователя без требования ТОТР, вход по паролю засчитывает, но дальше ошибка и входа в ПК нет.

slakwik · 16.Декабрь.2024 10:02:17

Обнаружил, что если пользователь Avanpost локальный (а не в FreeIPA-aldpro), то всё работает.

slakwik · 17.Декабрь.2024 07:49:52

Решил сам.
Всему виной особенности реализации ald pro и freeipa.