Не пускает пользователя по ssh

Cent OS, Scientific Linux

Модератор: Модераторы разделов

Ответить
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Не пускает пользователя по ssh

Сообщение kerogaz »

CentOS 7.2.1511 64 разр

Добавил пользователя . Дал пароль. Но по ssh его не пускает. Пускает только worm и gris а остальных не пускает
Пример пользователя bek:

Код: Выделить всё

Thu Aug 25 07:05:10 EDT 2016 from server on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Thu Aug 25 06:36:47 2016 from server
Could not chdir to home directory /home/bek: Permission denied
Attempting to create directory /home/bek/perl5
mkdir /home/bek/perl5: Отказано в доступе at /usr/share/perl5/vendor_perl/local/lib.pm line 269.
BEGIN failed--compilation aborted.
-bash: /home/bek/.bash_profile: Отказано в доступе



l

Код: Выделить всё

s -la /home/
итого 8
drwxr-xr-x.  7 root  root    65 Авг 25 02:49 .
dr-xr-xr-x. 17 root  root  4096 Авг 25 06:35 ..
drwx------   2   502 users   59 Авг 22 06:30 bek
drwx------.  8 gris gris 4096 Авг 23 07:02 gris
drwx------   2 petit users   59 Авг 23 08:44 petit
drwx------   2   529 users   59 Авг 23 08:07 test
drwx------   3 worm  worm    91 Авг 25 02:51 worm


Что делать?

Код: Выделить всё

 cat /etc/passwd
.........
gris:x:1000:1000:gris:/home/gris:/bin/bash
........
worm:x:1002:1002::/home/worm:/bin/bash
.......
bek:x:1003:1003::/home/bek:/bin/bash


gris и worm пускает а bek не пускает
Спасибо сказали:
Аватара пользователя
Olej
Сообщения: 659
ОС: Fedora, Mint, Debian, QNX
Контактная информация:

Re: Не пускает пользователя по ssh

Сообщение Olej »

А у вас gris и worm имеют $HOME со своими UID/GID, а bek - с какими-то левыми 502/users ... такое впечатление, что /home/bek просто скопирован с другого хоста.
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Olej писал(а):
25.08.2016 14:47
kerogaz писал(а):
25.08.2016 14:15
CentOS 7.2.1511 64 разр

Добавил пользователя . Дал пароль. Но по ssh его не пускает. Пускает только worm и gris а остальных не пускает
Пример пользователя bek:

Код: Выделить всё

Thu Aug 25 07:05:10 EDT 2016 from server on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Thu Aug 25 06:36:47 2016 from server
Could not chdir to home directory /home/bek: Permission denied
Attempting to create directory /home/bek/perl5
mkdir /home/bek/perl5: Отказано в доступе at /usr/share/perl5/vendor_perl/local/lib.pm line 269.
BEGIN failed--compilation aborted.
-bash: /home/bek/.bash_profile: Отказано в доступе



l

Код: Выделить всё

s -la /home/
итого 8
drwxr-xr-x.  7 root  root    65 Авг 25 02:49 .
dr-xr-xr-x. 17 root  root  4096 Авг 25 06:35 ..
drwx------   2   502 users   59 Авг 22 06:30 bek
drwx------.  8 gris gris 4096 Авг 23 07:02 gris
drwx------   2 petit users   59 Авг 23 08:44 petit
drwx------   2   529 users   59 Авг 23 08:07 test
drwx------   3 worm  worm    91 Авг 25 02:51 worm


Что делать?

Код: Выделить всё

 cat /etc/passwd
.........
gris:x:1000:1000:gris:/home/gris:/bin/bash
........
worm:x:1002:1002::/home/worm:/bin/bash
.......
bek:x:1003:1003::/home/bek:/bin/bash


gris и worm пускает а bek не пускает

А у вас gris и worm имеют $HOME со своими UID/GID, а bek - с какими-то левыми 502/users ... такое впечатление, что /home/bek просто скопирован с другого хоста.


bek создан на сервере и копируется на хосты nfs. Я добавляю новый хост и добавляю пользователя стаким - же GID и UID на этом хосте

Код: Выделить всё

useradd -o --gid 100 -- uid 502 bek

а потом в /etc/shadow удаляю у нужного юзера два !! и получается беспарольный вход по ssh между хостами. На другом рабочем хосте с таким же CentOS пользователь bek имеет следующие параметры, хотя туда туда я добавлял его же точно таким же способом

Код: Выделить всё

ls -la /home/
drwx------  34 bek    users  4096 Авг 25 06:33 bek


. Разница лишь в том что bek есть на сервере а worm ещё нет
Но и на несвязанных между собой nfs системах имеется такая-же проблема
http://unix.stackexchange.com/questions/27...ccess-on-centos
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

Осильте LDAP.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
s.xbatob
Сообщения: 1139
ОС: Fedora

Re: Не пускает пользователя по ssh

Сообщение s.xbatob »

Как вы создаёте - это вы вашей системе объясните :) Пока же у пользователя bek uid=1003, а у его домашнего каталога 502, и доступа туда нет вообще. Результат - налицо.
Ещё подозреваю, что useradd насчёт --uid=502 даже высказывался, но вы это проигнорировали.
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

s.xbatob писал(а):
25.08.2016 15:19
Как вы создаёте - это вы вашей системе объясните :) Пока же у пользователя bek uid=1003, а у его домашнего каталога 502, и доступа туда нет вообще. Результат - налицо.
Ещё подозреваю, что useradd насчёт --uid=502 даже высказывался, но вы это проигнорировали.

На работающем хосте я давал

Код: Выделить всё

useradd -o --gid 100 -- uid 502 bek

и получил

Код: Выделить всё

drwx------  34 bek    users  4096 Авг 25 06:33 bek

а на новом хосте я получил то что получил

Код: Выделить всё

drwx------   2   502 users   59 Авг 22 06:30 bek


Я не могу понять почему вместо имени на новом хосте стоит его uid 502. Может поътому и не работает
Кстати на работающем хосте
всё как надо

Код: Выделить всё

cat /etc/passwd
bek:x:502:100::/home/bek:/bin/bash

а здесь получилась какая-то дикость

Код: Выделить всё

bek:x:1003:1003::/home/bek:/bin/bash

Хотя я тоже давал

Код: Выделить всё

useradd -o --gid 100 --uid 502 bek
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

сделал

Код: Выделить всё

userdel bek

Для надежности всё перестартовал
опятть

Код: Выделить всё

useradd -o --gid 100 --uid 502 bek


И в сухом остатке имеем

Код: Выделить всё

cat /etc/passwd
bek:x:502:100::/home/bekenev:/bin/bash


:ohmy:
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

В общем получается примерно через раз. Один раз uid и gid за 1000 а повторому разу - то что задал в команде useradd
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Cейчас на хост по ssh могу зайти только как root а gris вообще приобрел невероятные значения, хотя я его прописывал как

Код: Выделить всё

useradd -o --gid 100 --uid 500 gris

а bek

Код: Выделить всё

useradd -o --gid 100 --uid 502 bek

В /home что называется: всё смешалось в доме Облонских:

Код: Выделить всё

ls -la /home/
итого 4
drwxr-xr-x.  4 root     root    31 Авг 25 09:11 .
dr-xr-xr-x. 17 root     root  4096 Авг 25 08:48 ..
drwx------   2 bek    502   59 Авг 22 06:30 bek
drwx------   2 saslauth users   59 Авг 25 09:11 gris

У bek в колонке группы стоит его uid 502(а должен быть users) а у gris вместо его имени gris стоит вообще фиг знает что : saslauth :ohmy:

в то время как

Код: Выделить всё

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bek:x:502:100::/home/bek:/bin/bash
gris:x:500:100::/home/gris:/bin/bash


А вот что у gris и bek на рабочем хосте (добавлял точно так же , ОС точно такая же (правда делал в начале года до апгрейда ОС, комп точно такой же, запустилось с пол-оборота без проблем))

Код: Выделить всё

ls -la /home/
drwx------  34 bek   users  4096 Авг 26 01:18 bek
drwxr-xr-x  39 gris        500 12288 Авг 25 06:53 gris


Код: Выделить всё

cat /etc/passwd
gris:x:500:100::/home/gris:/bin/bash
bek:x:502:100::/home/bek:/bin/bash
Спасибо сказали:
Аватара пользователя
s.xbatob
Сообщения: 1139
ОС: Fedora

Re: Не пускает пользователя по ssh

Сообщение s.xbatob »

У вас домашние каталоги, случаем, не монтируются по сети?
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

s.xbatob писал(а):
26.08.2016 09:06
У вас домашние каталоги, случаем, не монтируются по сети?
Так точно, я выше говорил что связаны между собой NFS. На этом хосте отвалился винчестер, я поставил новый, поставил CentOS7 (на старом винте стоял CentOS 6.8) и все настройки хоста прописал какие были
Спасибо сказали:
Аватара пользователя
s.xbatob
Сообщения: 1139
ОС: Fedora

Re: Не пускает пользователя по ssh

Сообщение s.xbatob »

kerogaz писал(а):
26.08.2016 09:07
s.xbatob писал(а):
26.08.2016 09:06
У вас домашние каталоги, случаем, не монтируются по сети?
Так точно, я выше говорил что связаны между собой NFS. На этом хосте отвалился винчестер, я поставил новый, поставил CentOS7 (на старом винте стоял CentOS 6.8) и все настройки хоста прописал какие были

Тогда - вы сами нашли себе приключения. Сами и преодолевайте! Или ищите другой путь.
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

s.xbatob писал(а):
26.08.2016 09:31
kerogaz писал(а):
26.08.2016 09:07
s.xbatob писал(а):
26.08.2016 09:06
У вас домашние каталоги, случаем, не монтируются по сети?
Так точно, я выше говорил что связаны между собой NFS. На этом хосте отвалился винчестер, я поставил новый, поставил CentOS7 (на старом винте стоял CentOS 6.8) и все настройки хоста прописал какие были

Тогда - вы сами нашли себе приключения. Сами и преодолевайте! Или ищите другой путь.

Спасибо за дельный совет :laugh:
Спасибо сказали:
Аватара пользователя
s.xbatob
Сообщения: 1139
ОС: Fedora

Re: Не пускает пользователя по ssh

Сообщение s.xbatob »

kerogaz писал(а):
26.08.2016 09:35
s.xbatob писал(а):
26.08.2016 09:31
kerogaz писал(а):
26.08.2016 09:07
s.xbatob писал(а):
26.08.2016 09:06
У вас домашние каталоги, случаем, не монтируются по сети?
Так точно, я выше говорил что связаны между собой NFS. На этом хосте отвалился винчестер, я поставил новый, поставил CentOS7 (на старом винте стоял CentOS 6.8) и все настройки хоста прописал какие были

Тогда - вы сами нашли себе приключения. Сами и преодолевайте! Или ищите другой путь.

Спасибо за дельный совет :laugh:

Это не совет, а предупреждение: путь, который вы выбрали, обильно усеян всевозможными граблями. Тут всё "на тоненького", и чтобы это работало требуются знание, аккуратность и регулярное приложение рук.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

s.xbatob писал(а):
26.08.2016 12:25
чтобы это работало требуются знание, аккуратность и регулярное приложение рук.

Ничего подобного. Чтобы это работало, требуется однократное приложение головы.
Bizdelnick писал(а):
25.08.2016 15:12
Осильте LDAP.

Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Здесь вы абсолютно правы. Путь действительно сложный. Каждый новый хост надо настраивать долго и мучительно (вводить вручную всех юзеров, делать им беспарольный вход между узлами и т.д.)Но так кластер был настроен изначально. Приходится лишь сетовать а хост приводить к нижеприведенному виду чтобы он работал, потому что /home находится на другом хосте (storage) с большим дисковым объемом и позволяет ли ldap делать подобную конфигурацию ?

Код: Выделить всё

 df
Файловая система  1K-блоков Использовано   Доступно Использовано% Cмонтировано в
/dev/sda3          52403200      1994944   50408256            4% /
devtmpfs           12246992            0   12246992            0% /dev
tmpfs              12256840            0   12256840            0% /dev/shm
tmpfs              12256840        17120   12239720            1% /run
tmpfs              12256840            0   12256840            0% /sys/fs/cgroup
/dev/sda1            487634       148057     309881           33% /boot
/dev/sda2         422849816        32928  422816888            1% /scratch
storage:/home    2824681984   1383563264 1297626624           52% /home
tmpfs               2451368            0    2451368            0% /run/user/500
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

kerogaz писал(а):
29.08.2016 08:27
позволяет ли ldap делать подобную конфигурацию ?

Какую? И зачем тут вывод df? LDAP нужен (в данном случае, хотя других применений ему можно найти много) для централизованной аутентификации пользователей, тогда у них везде будет один и тот же UID (а также членство в группах и .т п.).
https://access.redhat.com/documentation/en-...tml#s1-OpenLDAP
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Bizdelnick писал(а):
29.08.2016 12:36
kerogaz писал(а):
29.08.2016 08:27
позволяет ли ldap делать подобную конфигурацию ?

Какую? И зачем тут вывод df? LDAP нужен (в данном случае, хотя других применений ему можно найти много) для централизованной аутентификации пользователей, тогда у них везде будет один и тот же UID (а также членство в группах и .т п.).
https://access.redhat.com/documentation/en-...tml#s1-OpenLDAP

Мы связаны с серверами LDAP глобальной сети , который на наших хостах раздает свои uid и gid Не будут ли например шведские или какие-другие сервера LDAP конфликтовать с нашим локальным LDAP ?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

Что означает «мы связаны»? LDAP используется для аутентификации системных пользователей или для чего-то другого? Если для чего-то другого (то есть на NFS-сервере и клиентах не настраивался вход через LDAP), то никаких проблем.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Bizdelnick писал(а):
29.08.2016 13:44
Что означает «мы связаны»? LDAP используется для аутентификации системных пользователей или для чего-то другого? Если для чего-то другого (то есть на NFS-сервере и клиентах не настраивался вход через LDAP), то никаких проблем.




http://www.nordugrid.org/documents/arc-client-install.html


Different Grid infrastructures or Virtual Organisations have different entry points, not known to ARC developers. Ask your local Grid expert what is the correct value in your case.

In ARC 12.05, Grid entry points are described in [registry/<alias>] blocks, one block per entry point. An example of a working block in ARC 12.05 is:

[registry/index2]
url = ldap://index2.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid
registryinterface = org.nordugrid.ldapegiis
default = yes
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

Вы предлагаете мне прочитать 30 килознаков текста, чтобы помочь Вам настроить Ваши сервера, причём совершенно бесплатно?
В процитированном Вами отрывке только про опциональную настройку файрвола. К данной проблеме это отношения не имеет.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
kerogaz
Сообщения: 916
ОС: CentOS,FreeBSD 12.1,Arch

Re: Не пускает пользователя по ssh

Сообщение kerogaz »

Bizdelnick писал(а):
29.08.2016 13:56
Вы предлагаете мне прочитать 30 килознаков текста, чтобы помочь Вам настроить Ваши сервера, причём совершенно бесплатно?
В процитированном Вами отрывке только про опциональную настройку файрвола. К данной проблеме это отношения не имеет.

Да мы уже всё настроили с NFS, просто спрашиваем если воспользоваться вашим советом по ldap, не будет ли он конфликтовать со следующи внешним сервером LPDAP который прописывается у нас в клиентской части ARC .

Код: Выделить всё

In ARC 12.05, Grid entry points are described in [registry/<alias>] blocks, one block per entry point. An example of a working block in ARC 12.05 is:

[registry/index2]
url = ldap://index2.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid
registryinterface = org.nordugrid.ldapegiis
default = yes

In ARC 11.05, Grid entry points are denoted with index prefix. An example of a working [common] block in ARC 11.05 is:

[common]
defaultservices=index:ARC0:ldap://index1.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid index:ARC0:ldap://index2.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid index:ARC0:ldap://index3.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid index:ARC0:ldap://index4.nordugrid.org:2135/Mds-Vo-name=NorduGrid,o=grid index:ARC0:ldap://index1.ndgf.org:2135/Mds-Vo-name=NDGF,o=grid index:ARC0:ldap://index2.ndgf.org:2135/Mds-Vo-name=NDGF,o=grid index:ARC0:ldap://arc-emi.grid.upjs.sk:2135/Mds-Vo-name=ARC-EMI,o=grid index:ARC1:http://asimov.grid.niif.hu:60002/isis computing:ARC1:https://knowarc1.grid.niif.hu:60000/arex computing:CREAM:ldap://cream.grid.upjs.sk:2170/o=grid computing:UNICORE:https://testbed5.grid.upjs.sk:8080/KnowARC-testbed/services/BESFactory?res=default_bes_factory


Не станет ли совмещение этих двух ldap процессом куда более громоздким (если вообще выполнимым) чем соединение с помощью NFS?
Для ясности приведу ссылку чтобы вы знали о чем идет речь
https://en.wikipedia.org/wiki/Advanced_Resource_Connector
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не пускает пользователя по ssh

Сообщение Bizdelnick »

С сервером конфликтовать не будет.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Ответить