Feature/sram pam weblogin

group_vars/nibbler_cluster/secrets.yml

@@ -1,95 +1,101 @@
 $ANSIBLE_VAULT;1.2;AES256;nibbler_cluster
-32646261313538363863646239363937633132643462663938613439646136336365373331346132
-3666636631643661313865613539643138303666613865380a386536656333393761383333653832
-65363630366331346134613531613763333564343633373632323636363337613736643037636136
-3931663530656363610a363666626134373436633832383632303735383936643536633533346365
-62373437623564616464393066633133623035643730333238633364343966326433383461613730
-30373865336532386261393031376539303832353366356239663630646239386230613330643533
-61633336333932623065303832636265303264623661393564303238653732663734373566313965
-66616261663664666130313563313465396139653164613836663666646166636236336235643963
-62376464656135626632323833366632366364333636336235343635623237626265646562636164
-35646561343533653339623761333237623736363266356263643138303833613139646138303364
-39323034656433386563653565376239656164333461313837663239643333643563623665366634
-36386437373539633939383963636533396138303830363761323736623962643264303061326435
-37343434383866336163316132653364636366623163663438363730313562623639346636633965
-30663734653965323966346133333365316562653735623035326666336537343034353438626335
-31646630363065613933323663343466643531643463613161313336656138366464363230336664
-39393939613535326230363630343135656565666562626131386463336434333966346362323863
-30326434623536316462343664656561663264366662373434303137333736623138333139643233
-30313437313039613331613666623265343537313233366432363238633961646236363261343763
-65616331656135356633343634623262353232323039333535376461306134363138393638616263
-38353438363062626338323334376432396535316530616533313133646238323161646630313166
-33636435653264306363356665376464383833366135323936626439383864623139663739303636
-36323433323634633634616362336365363031626638336133366236623032303461393739396237
-35323365336363633961333334336661353534363266613737633964383564633730653934396263
-32643634356437396630333935366135363139366432326165363762623964663162623730316238
-66303831373134316330656231383635663833356531323730653261613764643761363236616430
-30643239346530396535633262636330353864363733616338636234623461623663356636393639
-30323739303536613930353737393438373166663466336464326334613261643765373231306539
-30653737633065383866376234353138643662356264613261343064313031393131303662636639
-63666130343264306430313832366333353535386333616232656631623039643336343134386339
-64333037306366326634616435316534636332346662376166663962316431373333313062316637
-34303932646665303836313439326362656462613630613865366565323532356666313365306433
-32646666386430636266323733373863356165666435326134363061373463373338623234306330
-64366438623738626134303565373064383165343362643637333962663334626263316336323836
-37633534656534656235626561626562636237316665623634643530363431356233323062626330
-61373435653162643430663362646266636163333163376562383966643938346164303139623665
-37383237653937663365626664633032336263613436323762626365396133346334643766393530
-36633665353461626266636436363933333763316134323662643532326261386135306161613438
-31613066366336653336653065353831396434343534656136326230623730643265643534613438
-61363136363762656563646233363131313333643738623963346561333764393435396139643465
-37656264663731653466303536333632303639393961313431303235623865376534383563306161
-64623266636436666437646637663462313238613932386562393037663631653234653632383662
-39356333313738633064393737346337663631663965383562396261376237386162636661306361
-38356533326564626430396132323239383537323536313033386137616264666438653239646432
-63353362616261646366323063303963613434376261326664666361383333383935666364363533
-63636135393430313962313665343335626362316435323732373863373837393030343562363361
-33616264303631303764626639316266376166343861643332656262396230356336303265326164
-63393633356161303236313637646634303633336164343032646366376330616139383262363864
-65633466323432316135626530366233376532373033376630643133313564663064643735316633
-38353139326536313735373363626364393262343930333839663730356533633737663730373634
-62663535613438396338303038383237323637323136623732636235343736326166666564383135
-34373366323464613135356532333463613365636264626136623130353039323064633561363636
-64386630343864633637366135376139363630326161333835613832386635636534376636643933
-39343662353436383362353339346166326661666161376465333731646635313239623537633235
-38386361346662353534336632613961363239396238633838613038313333663463623634363663
-31306364376431393765643066363936356334663830373964376435396639376334623039613930
-64326630663935306365356362646630656662366533656234376438323939333761613932386565
-32623130343562623735313131646631663431376364346364323766316533653934363662393162
-36356136353864323136353634393462373237353036303863376339643866396333366532666161
-66396333643832633162343336646335353530353262666664313639663231333239613736303630
-38656635363131303937653332363337663235666435613563386466343237613431333361616335
-65333231613162356361626364343633313164656438323336393538616531633364333936303531
-30636538383638393834346136303734313062326161353861383635356363643438383538386162
-32646231343633623133383065363565333532316431656633333739616262623561326330363530
-32336665323366366265633065623464356334666634373363356563376266666566316234306233
-34353235383236326335643663306564613163633936633661323438326661616338336661633433
-62656164323735303538336634646632376133636439363232356332363937653238373935316135
-33313333356139336136653166353365376165343338613633323337396237393730373237663436
-37363563353736303538613762313563383332653631666265386561363465623562643737343237
-30623733646533353266386165306636343131303166376430373638633564636662393732313337
-36303561643165383564376637313130623931303938313035316462353166363232333330353435
-35376465376332366539303137626266623861323535383930373237346132353564343964636233
-36323434353631636636313665313862363266376337346532376238353335656133306136643833
-35663933623136613763366331326431666138626534346337643932356439663866643532303832
-32623633656137643961383264653631616666373164323330323333653637613337353634636336
-63343733613330396466313165376334656532363037393362393266343930376461393639383664
-38646536393536616536383565653962383339623831386562663538646536653537326236313031
-35393962643631353265636432613536383864363364646266616532643235303463363535343037
-38393832633761633265306637386230643232653862356537636664643337663134343235393739
-38323633663033333062623165333534326432343866616266356534326238663361666164343030
-66353863363633643938666565363934323665626231396362636430373633306233356661323430
-37316439613763313937326338366335366139383435353136623265646339376265656138343430
-63666439323461383930363965326631646562623630656565353364346430386161633139383035
-63303664623631616339656664666265613061653133336563626434356437383439613765643937
-62393961376561633362643837326436336538623231323465363062383338613961343535653363
-31326361323032323839666235303063373232373066613835633633346265636632643362396166
-32626138306437613966626431636530663938393562636532343261363866333230663939613835
-62613639376365656164666163656539333931303466643737363666363363376163366262643835
-62613761613931333530613730343831636532313930386564343138393561666330343832326134
-63346538393931326632306365373761633239303165626538383265633862323030363236396361
-38353637656663646662326664333632303830373961303331386632316137343032386534643264
-32373931303832316663353932366233323462646434653061626431363533326631386435323562
-37643631306332376164386665333061316330353537663932326635613463663433633236636636
-36336564333463656561353536623839663762363738633061363134393536336666333264386261
-6537633530373734326366333466646139663061326163393234
+62653139663861373737633132663838346663663636353030633664313562656137626565633930
+3761343333626434353365613339313239636661333035320a663131383938393966343963643139
+61333534346131373533643639636531613336663361626139366466643135376463346434616261
+6534313136663664340a613561646361373131636637363138303464303663303936386461376237
+38373836653162363034376635626338353462306165643630373566346431613961303663376462
+66636338363836626565663131643565323237656564316531646132343635626433643064396163
+30656634376661353164633061396166333635323638303039353633373663653562393739356337
+39623062336237663935666366346532366265653564323561346161393138336330343238396162
+38663233643534613231623134356365333831623433353865326331636463393333656464643333
+35623635373535613039313663636139643862326436333233396230633666383565343664393439
+61363766316363396264383130326537346437336534306533366238643632613533396333313139
+63313066656135346132333035333339356233326339303631343532646263373365623964316463
+66356563393936636264346335393361663337633533616335383539633964386462666130653966
+61653538633032333534633538653235383031613636396561616365366130373964393136353439
+62323164356131656262626361653233636538353263353336323461353235363361316265633933
+36313134356537373662663963386231623632333633646133383837663362373864336238303064
+39303263333262326661623239623934383535333632633738663039383462626562643664303665
+64373139643862373936313936653439386365333830373136343635313862303666323461396335
+35316437613436363362373966333161643966336361346462353436346232306261323962373331
+65303734306366346334363262326133643364333334326639663334666234303736373330393761
+35366632363664626665366161663336323764333938613439653739333762666565363564386638
+36393130616236386262303737643061376637663338306561396439373466613130333233323436
+31353862376432643534363064646638316335653834373834633466633834393065643533346265
+62653862356533323732623737353233323263616464306630616266393862613833306237356461
+31383831393030616135363161643938333633626561623933663434663565656361386339636231
+38656136666161613033303066643166373764306630353638393165646562626563333639653130
+61306230323839656262663738363334316432656638643561323536363864326132613136373034
+35306539323130363265303465623131363334633536313130323738626664656561303834613439
+37333035653264396539303335626562613965626465313235336465623861316163373462616462
+33386661613862626133663262663761623035643761323664323539633734663332313162626136
+38643963343162623261323965386538353765343762646330393863323234333565383733343337
+36613139636533303231353932316463666366643931343630303062383466393864613936623439
+66616435396634333231633835346336343336373235373737666133343939333263356230353336
+38373766656131353365306631366237636130636131323831343162366133396333663938353431
+35633466353737616261643432353437353664636439343833373965393765343739616537353461
+31313364383865376532333666653138633065643131633863653739363266313433396338313835
+33343233393265333933393362323230656534346164613266643163643738376139316437616264
+65363065383634643838323562613361663366393863316339396131653931643561393831343330
+66376136303430363835653865393533636634656531393131656366366463373065646332326436
+64376636353234633839666239373036306565666161353431336265633230396566343963626265
+38666431373634353039303865366136616232383061656537323232353864623437656530646266
+38643161383235666265373132626536663564373532386335313033363531666263653731326432
+30363366326531363764656162313232313932376363663035366365373565393764643131653335
+37336564313039316133343339303836333263663365326536313432623237353133396363626165
+34363063343961393262356437643761356166376437613537373066343837616236663563373063
+30663438646431663934636534633336313465343766393961383730616239386632343832303761
+31626566346636363038616537656436663531623764623737623561343563346139326333333230
+32636666333363666362633937643966376261346366653830666262323238303737346364613438
+64396161336530343638616266653034663338633639653833373962383834636137366238393165
+62333031313639383037306264646434373065616532653832626138633639353662326539393639
+34653535643465613639656530313339386131633339353330346639396432336663653431616637
+31623664663038666239633330653136636538643939666663323234383266396238303234633766
+63353034366134383233343866663762313031386466366332303564373561393861646663643936
+38373461363034323938323664353765306265653733376565616665326435376265653830376664
+66396561393065613764373137306666636530626365303063626138336430303236343634383738
+61353561306166343437653638343165623534643966333731623462613430616533323731383832
+61613462346336343233303838363532396638386162623133336562363733623763663338616236
+64356231656564343734323562343266313566336438343562623830613434663837646535353833
+38346236306331636631613933373431366133373965366663633231623964376632663731653563
+63643630353535343636636235626462303263323734393038373138326231363034336231626537
+38666139373464346164643463386332323266653138393734333765653738373763303931333466
+30363632323566313866386230383463326433373662653435373766346435303165643165383235
+36373439376238653636316461333866303333633635666439383630396437353532623964386238
+32353761373631383730313263353336303734333566303262653266626563313534306436666262
+30353166326566353534313565386661613562356265303138303434663637623262343139326139
+34396433353038663830363734353634383836656466636532646666643735386162303764366338
+64393736373935393137636439393833663066316236316434363262313062383333326637333732
+31626434376437366365346234306561396538323535303930366664383035343936303636326135
+61666265633533373932323663356639663265633762373265613836613439366161656161386661
+66363837636264326131323430346633646237613234326163396638633433623834306632646532
+30636130383038343332393364363464343833313062303134616563313539373561663632346336
+35313333623166316262393730383966343436303339343935663564333332333539313630643635
+37313738333465306533613366633039323537303536383862623365626335393533363036373665
+34643033643639663139626466616233346463353662313834323533313865306430623735303237
+32333161303737343565363364393430396537396561313964663634633563613932376465656534
+31373236353432316463303963616233353038663936643737376536333063323261663437643933
+39636636306635616630306139316462666162613663653562313736333635333765303761363834
+34323331353263613738373661366236333134663234626466333537386334653739316230653931
+36663234383735663930323132623437656662303630666466663662613465333664663664623662
+35623561313638656164613237333132636663316330346537353261336362633839643235613462
+30343238343430646164383837346134393463326464356231323539363730336461323431646366
+62303739313830326635303230333664643862393536376635613239633937316361346335343830
+65373966653536623464313336346161623537303762633737333162613132636439393732323162
+34616437333337353838626464386131636233363237386138353435303935663564616163633830
+36316263376261633934663963373465333461366463323338656231313061646135663665393738
+35396630363763323263623839313232623434633566333166396263366338333333633033326663
+66383439336239636630343537333038376132376237353864313931316466653562303664353233
+66663063363366636532616131336532613364316233653135643336613264386663396264663737
+62323563366134373031633332393534666637363832626333366339353230656636646261386333
+62393235633435663261303133656138363433373439313062383666646231653235366235636136
+36636331353762633532653965626336646130356638633665383735313231363333363362633331
+63653035363662643538303864386562353830666565633230353038666266323938653961653063
+35393265326438666361323836643061616539306638336535626434623463376165626436383933
+32633931393666613531366264656264323866633839633762303131376164373165383237333865
+63653566376333343466383832656463336162663562616331633062356664636435363563326464
+31346134663937633730373364616636656438656132616363376164306361363535366238383663
+63353864306361333066366631623338376461343733393662316139343435663866326636336631
+35346366323665613936643565623965326430653433326562373361616366636430653466613237
+31333061333664613634643939373833343139653165626566306665396663326539393634626632
+31316534653933616666

group_vars/nibbler_cluster/vars.yml

@@ -83,6 +83,20 @@ ldap_domains:
     group_object_class: groupofnames
     group_quota_soft_limit_template: ruggroupumcgquotaLFSsoft
     group_quota_hard_limit_template: ruggroupumcgquotaLFS
+pam_weblogin:
+  machines: "{{ groups['jumphost'] }}"
+  excluded:
+    - 'LOCAL'
+    - "{{ all.ip_addresses['umcg']['net1']['address'] }}{{ all.ip_addresses['umcg']['net1']['netmask'] }}"
+    - "{{ all.ip_addresses['umcg']['net2']['address'] }}{{ all.ip_addresses['umcg']['net2']['netmask'] }}"
+    - "{{ all.ip_addresses['umcg']['net3']['address'] }}{{ all.ip_addresses['umcg']['net3']['netmask'] }}"
+    - "{{ all.ip_addresses['umcg']['net4']['address'] }}{{ all.ip_addresses['umcg']['net4']['netmask'] }}"
+  url: https://sram.surf.nl/pam-weblogin
+  user_name: email
+  min_uid: "{{ ldap_domains['sram']['min_id'] }}"
+  max_uid: "{{ ldap_domains['sram']['max_id'] }}"
+  retries: 3
+  cache_duration: 3600  # seconds
 cloud_image: CentOS 7
 cloud_user: centos
 network_public_external_id: vlan16

roles/sshd/defaults/main.yml

@@ -4,9 +4,14 @@ data_transfer_only_group: sftp-only
 #
 # Reduce LoginGraceTime on machines with direct internet connection to increase security
 # and reduce the number of opened but not yet authenticated connections consuming resources.
+# When MFA authentication is enabled either with TOTPs or the SRAM PAM web-login plugin,
+# users may need some extra time for the additional steps.
 #
 sshd_login_grace_time: "\
-    {% if inventory_hostname in groups['jumphost'] | default([])
+    {% if inventory_hostname in totp.machines | default([])
+       or inventory_hostname in pam_weblogin.machines | default([]) %}\
+        60\
+    {% elif inventory_hostname in groups['jumphost'] | default([])
        or inventory_hostname in groups['data_transfer'] | default([]) %}\
         30\
     {% else %}\

roles/sshd/tasks/disable_pam_weblogin.yml

@@ -0,0 +1,23 @@
+---
+- name: 'Update /etc/pam.d/sshd: Disable pam_weblogin-auth.'
+  ansible.builtin.lineinfile:
+    path: '/etc/pam.d/sshd'
+    owner: root
+    group: root
+    mode: '0644'
+    state: absent
+    regexp: '^#?auth(\s+)([a-z]+)(\s+)pam-weblogin-auth'
+  become: true
+
+- name: Remove /etc/pam.d/pam-weblogin-auth.
+  ansible.builtin.file:
+    path: '/etc/pam.d/pam-weblogin-auth'
+    state: absent
+  become: true
+
+- name: Remove /etc/pam-weblogin.conf
+  ansible.builtin.file:
+    path: /etc/pam-weblogin.conf
+    state: absent
+  become: true
+...

roles/sshd/tasks/disable_totps.yml

@@ -15,17 +15,6 @@
     regexp: '^#?auth(\s+)([a-z]+)(\s+)totp-auth'
   become: true
 
-- name: 'Update /etc/pam.d/sshd: Enable password-auth.'
-  ansible.builtin.lineinfile:
-    path: '/etc/pam.d/sshd'
-    owner: root
-    group: root
-    mode: '0644'
-    insertafter: '^#%PAM'
-    regexp: '^#?auth(\s+)([a-z]+)(\s+)password-auth'
-    line: 'auth       substack     password-auth'
-  become: true
-
 - name: Remove /etc/pam.d/totp-auth.
   ansible.builtin.file:
     path: '/etc/pam.d/totp-auth'

roles/sshd/tasks/enable_pam_weblogin.yml

@@ -0,0 +1,58 @@
+---
+- name: Install weblogin PAM plugin.
+  ansible.builtin.yum:
+    state: latest
+    update_cache: true
+    name:
+      - pam-weblogin
+  become: true
+
+- name: Deploy /etc/pam-weblogin.conf to configure weblogins for SSH.
+  ansible.builtin.template:
+    src: pam-weblogin.conf
+    dest: /etc/pam-weblogin.conf
+    owner: root
+    group: root
+    mode: '0640'
+  become: true
+
+- name: Deploy /etc/security/exclude-pam-weblogin.conf to allow skipping the weblogin for trusted subnets.
+  ansible.builtin.template:
+    src: exclude-pam-weblogin.conf
+    dest: /etc/security/exclude-pam-weblogin.conf
+    owner: root
+    group: root
+    mode: '0440'
+  become: true
+
+- name: Deploy /etc/pam.d/pam-weblogin-auth.
+  ansible.builtin.template:
+    src: pam-weblogin-auth
+    dest: /etc/pam.d/pam-weblogin-auth
+    owner: root
+    group: root
+    mode: '0644'
+  become: true
+
+- name: 'Update /etc/pam.d/sshd: Disable password-auth'
+  ansible.builtin.lineinfile:
+    path: /etc/pam.d/sshd
+    owner: root
+    group: root
+    mode: '0644'
+    insertafter: '^#%PAM'
+    regexp: '^#?auth(\s+)([a-z]+)(\s+)password-auth'
+    line: '#auth       substack     password-auth # Disabled in favor of pam-weblogin-auth.'
+  become: true
+
+- name: 'Update /etc/pam.d/sshd: Include pam-weblogin-auth.'
+  ansible.builtin.lineinfile:
+    path: /etc/pam.d/sshd
+    owner: root
+    group: root
+    mode: '0644'
+    insertafter: '^#?auth(\s+)substack(\s+)password-auth'
+    regexp: '^#?auth(\s+)([a-z]+)(\s+)pam-weblogin-auth'
+    line: 'auth       include      pam-weblogin-auth'
+  become: true
+...