SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

[AndreasWittig]

Schade, kann man wohl vorerst nichts machen - dennoch natürlich vielen Dank.
Habe ich es recht verstanden, dass dies eher ein missing feature des sFTP-Plugins ist, oder ist es eher die OpenSSH-Lib die es nicht (einfach) hergibt?

[ghisler(Author)]

Ja, mir ist nicht klar, wie ich erkennen soll, dass der Server publickey UND keyboard-interactive erwartet. Normalerweise sind die angebotenen Methoden Alternativen, d.h. man kann sich enterweder per publickey oder via keyboard-interactive anmelden. Aber bei Ihnen wird zusätzlich zum Public key noch keyboard-interactive für den zweiten Faktor verlangt.

[AndreasWittig]

Hallo,
leider kenne ich diese "Schnittstelle / Schicht" zu wenig.
Meine Beobachtung beim Spielen mit dem WinSCP-Parametern "versuche keyboard-interactive Authentifizierung":
Ist dieser Parameter _nicht_ gesetzt erhält man (im WinSCP)

Code: Select all

   Authentifiziere mit öffentlichem Schlüssel "imported-openssh-key" des Agenten.
   Further authentication required

Das interpretiere ich als: >>das mit dem öffentlichen Schlüssel hat geklappt, es fehlt aber noch eine zusätzliche Authentication.<<
Setzt man dann "versuche keyboard-interactive Authentifizierung" wird offensichtlich zuerst public/private-Key Authentication probiert und anschließend noch mal eine interactive.

Aber mit diesen Spekulationen bin ich ehrlich gesagt auch schon am Ende meiner Künste

[AndreasWittig]

Ich habe mal die Anmeldesequenz des Putty geloggt (und geringfügig anonymisiert):
https://drive.google.com/file/d/1IUg6f26N6jSdEwHDm2a1rG28tsa-JQDn

[ghisler(Author)]

"Further authentication required" ist nur der Text, der beim Anfordern des 2. Faktors angezeigt wird. Ich muss irgendwie herausfinden, dass das Login nach dem Senden des Zertifikats nicht gescheitert ist, sondern einen zweiten Faktor verlangt. Ich werde mal versuchen, diesen 2. Faktor auf einem Raspberry PI einzurichten.

[ghisler(Author)]

Ich habe nun den Quellcode von Putty analysiert - es scheint eine neue Funktion zu sein, die in der von mir verwendeten Library libssh2 noch nicht implementiert war. Ich habe das nun selber eingebaut. Bitte ausprobieren!

Plugin für Windows Vista und neuer:
https://www.totalcommander.ch/beta/sftpplug280b1.zip
Plugin für Windows XP (benutzt OpenSSL):
https://www.totalcommander.ch/beta/sftpplug280b1xp.zip
Quellcode:
https://www.totalcommander.ch/beta/sftpplug_src280b1.zip

Wichtige Hinweise: In meinen Tests verlangt der Server nach dem Zertifikat, dann zusätzlich nach Passwort und zweitem Faktor. Da das Zertifikat bei mir verschlüsselt ist, muss man 2 Passwörter mit dem Hauptpasswort speichern. Diese kann man nun wie folgt eingeben:
"Passwort für Zertifikat","Passwort für Server"

Falls der Server NICHT nach dem Passwort fragt, dann müssen Sie folgendes angeben:
"Passwort für Zertifikat",""

Übrigens, wie kann man einstellen, dass der Server nur nach Zertifikat und zweitem Faktor fragt? Mir ist das nicht gelungen. Es ist möglich, dass ein Login mit dieser Variante noch nicht geht, deshalb erst mal eine Betaversion.

[AndreasWittig]

> wie kann man einstellen, dass der Server nur nach Zertifikat und zweitem Faktor fragt?
Bei mir: /etc/ssh/sshd_config

Code: Select all

...
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes

ChallengeResponseAuthentication yes
PasswordAuthentication no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.

UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
...

[AndreasWittig]

Testergebnis 2.80 Beta 1
Ich konnte keinen Fehler feststellen: funktioniert alles wunderbar!
3 Test-Szenarien konnte ich abdecken:
a) weder 2-Faktor erforderlich (server) noch Passphrase (client) erforderlich ==> OK, man ist direkt eingeloggt
b) 2.ter Faktor erforderlich, keine Passphrase ==> OK, es wird nur der "verification code" gefragt
c) 2.ter Faktor und Passphrase erforderlich ==> OK, es wird Passphrase und anschließend "verification code" gefragt

Einschränkungen:
- die Konstellation, dass der Server ein Passwort anfordern kann habe ich _nicht_ getestet. Das darf ich serverseitig nicht einschalten.
- Den Testhinweis: ... Diese kann man nun wie folgt eingeben: "Passwort für Zertifikat","Passwort für Server"
habe ich nicht genau verstanden und auch nirgends ausprobiert, da kein Problem vorhanden.

[ghisler(Author)]

Danke, aber das war es nicht - ich musste in der Datei /etc/pam.d/sshd die folgende Zeile ändern:
@include common-auth
nach
#@include common-auth
(in Kommentar umgewandelt, also deaktiviert).

Beta 2 sollte nun mit diesem Fall besser zurecht kommen:

Plugin für Windows Vista und neuer:
https://www.totalcommander.ch/beta/sftpplug280b2.zip
Plugin für Windows XP (benutzt OpenSSL):
https://www.totalcommander.ch/beta/sftpplug280b2xp.zip
Quellcode:
https://www.totalcommander.ch/beta/sftpplug_src280b2.zip

Ich bitte um Rückmeldung!

[AndreasWittig]

Testergebnis 2.80 Beta 2
Alle 3 Testszenarien aus Beta-1 haben anstandslos funktioniert. Keine Fehler im Log.
Das Szenario mit User/Password + 2-Faktor kann ich nirgends testen.

[ghisler(Author)]

Super, danke für die Rückmeldung!