2FA TFA LDAP funktioniert kurz nach Einrichtung und einen Tag später nicht mehr

[j.palm]

Ich habe aktuell folgendes Phänomen, ich habe eine Nutzerauthtentifizierung per LDAP eingerichtet was auch problemlos funktioniert.
Nun wollte ich den Login weiter absichern und 2FA aktivieren was in erster Linie auch funktionierte .. also im Endeffekt 2FA angelegt über "totp" und den dann im Google Authtentificator eingebunden .. das funktioniert initial auch.
Nur wenn ich 1 oder 2 Tage später mich wieder versuche einzuloggen fragt er den 2. Faktor nicht ab und gibt mir direkt "Login Failed. Please Try Again".
Entferne ich nun den 2. Faktor kann ich mich wieder einloggen oder wenn ich den 2. Faktor neu erstelle geht es auch wieder.

Was für Informationen werden benötigt um der Sache auf den Grund zu gehen bzw. wo kann ich nachschauen um evtl. eine Fehlermeldung zu bekommen ?

EDIT: Hab hier gerade was gefunden:

Mar 29 09:45:56 Proxmox-XXX pvedaemon[2196]: authentication failure; rhost=::ffff:10.1.20.61 user=XXX@XXX.intern msg=80090308: LdapErr: DSID-0C090447, comment: AcceptSecurityContext error, data 52e, v3839#000 at /usr/share/perl5/PVE/LDAP.pm line 83.

Ich hoffe das hilft weiter


EDIT: Oke der Fehler hat sich soeben erledigt hab festgestellt das es bis jetzt doch noch funktioniert und ich einfach zu blööd war das richtige Passwort einzugeben

 

[j.palm]

gut ich konnte den Fehler nun reproduzieren, also diesmal das es nicht wegen eigner PW-Falscheingabe ein Fehler ist sondern der tatsächliche Fehler.

um den Fehler zu reproduzieren bindet man als Vorraussetzung als Realm einen Active Directory Server ein, dort synct man sich die Nutzer rüber und hinterlegt danach für einen Nutzer einen TOTP und bei dem AD-Realm das 2FA required ist.
Danach sollte der Login normal mit Passwort und darauffolgender Token-Eingabe des 2. Faktors funktionieren.

Ändert man nun aber das Passwort des AD-Kontos kann man sich nicht mehr einloggen.

Folgender Fehler wird angezeigt im Log:

Apr 4 08:39:57 Proxmox-XXX pvedaemon[2305]: authentication failure; rhost=::ffff:10.1.20.61 user=jp@XXX.intern msg=missing required 2nd keys

 

[dcsapak]

wie sieht denn die realm config aus? wird automatisch ein sync gemacht? beim sync muss man aufpassen dass man nicht die 'vanished' properties mitsynct, sonst werden die keys gelöscht beim nächsten sync
alternativ kann man die keys im ad in einem Attribut verwalten und ein mapping hinterlegen (siehe https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pveum_authentication_realms )

 

[j.palm]

Ich habe es aktuell per cronjob so konfiguriert das er mir alle 30 min nen AD-Sync durchführt.
Das mit den "vanished" properties ist nen guter punkt ich nehm den mal raus aus dem Sync und schau es mir dann nochmal an.

der 2. Ansatz klingt allerdings auch gut den schau ich mir auch mal genauer an. wäre es möglich mir da ein Beispiel zu geben wie ich dies umsetzen könnte ?

Ansatz 1 hab ich direkt getestet und kann bestätigen das es funktioniert also aufjedenfall mit einem manuellen Sync.
Da ich davon ausgeh das mein automatischer Sync hoffentlich die gleiche Einstellung verwendet wie der manuelle, da ich die Anpassung in der Realm-Konfig gemacht habe, sollte die Lösung auch beständig sein.