Am Donnerstag, 17. November 2016, 21:34:16 CET schrieb Jan-Tarek Butt via Admin:
Ich würde vorschlagen wir warten ab bis eike das ssl vollständig am laufen hat.
Hi,
mit SSL hat SSH nichts zu tun darum habe mich heute morgen nochmal an das Problem gesetzt. Und dann ist mir eingefallen, dass ich einfach nur vergessen habe in /var/log/auth.log nachzusehen was da denn genau schiefgeht:
ssh git@git.ffnw.de +++ Nov 18 11:20:21 git sshd[5753]: User git not allowed because account is locked Nov 18 11:20:21 git sshd[5753]: input_userauth_request: invalid user git [preauth] Nov 18 11:20:21 git sshd[5753]: Connection closed by 31.17.248.174 [preauth] +++
In der Annahme, dass das Gitlab Paket SSH richtig eingerichtet haben sollte, wird uns da wohl die SSH-Config von Puppet einen Strich durch die Rechnung machen: https://gitlab.com/gitlab-org/omnibus-gitlab/issues/935
Gitlab will ein "UsePam yes" in der sshd_config: https://gitlab.com/gitlab-org/ omnibus-gitlab/blob/master/docker/assets/sshd_config
Wir haben aber ein "UsePam no" dort stehen: https://git.ffnw.de/ffnw-puppet/ puppet-data/blob/master/common.yaml
Ich überschreibe die Puppet-Einstellungen der commons.yaml in der git.ffnw.de.yaml mal mit folgendem (sowie Anpassung der IP-Adressen damit uns die VM nicht flöten geht): ssh::sshd_use_pam: "yes" ssh::sshd_config_challenge_resp_auth: "no"
Hinweis zu UsePam aus der config: # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication mechanism. # Depending on your PAM configuration, this may bypass the setting of # PasswordAuthentication, PermitEmptyPasswords, and # "PermitRootLogin without-password". If you just want the PAM account and # session checks to run without PAM authentication, then enable this but set # ChallengeResponseAuthentication=no
Jetzt sollte die Kommunikation mit dem Git-User per SSH wieder laufen :)
Es gibt noch ein anderes Problem, aber dazu schreibe ich in einem neuen Thread.
Viele Grüße Clemens