We've just discovered that AIX does not honor HBAC rules with telnet.  ssh is fine.<div><br></div><div><div>[jebalicki@mo0033802 ~]$ ipa hbactest --user=testuser --host=<a href="http://sla765q1.unix.magellanhealth.com">sla765q1.unix.magellanhealth.com</a> --service=sshd</div>
<div>---------------------</div><div>Access granted: False</div><div>---------------------</div><div><br></div><div>There was no telnet service by default, I created one (but I'm not sure I did so correctly.)</div><div>
<br></div><div><div>[jebalicki@mo0033802 ~]$ ipa hbactest --user=testuser --host=<a href="http://sla765q1.unix.magellanhealth.com">sla765q1.unix.magellanhealth.com</a> --service=telnet</div><div>---------------------</div>
<div>Access granted: False</div><div>---------------------</div></div><div><br></div><div><div>[jebalicki@mo0033802 ~]$ ipa hbactest --user=testuser --host=<a href="http://sla765q1.unix.magellanhealth.com">sla765q1.unix.magellanhealth.com</a> </div>
<div>Service: any</div><div>---------------------</div><div>Access granted: False</div><div>---------------------</div></div><div><br></div><div><div>[jebalicki@mo0033802 ~]$ ipa hbactest --user=testuser --host=<a href="http://sla765q1.unix.magellanhealth.com">sla765q1.unix.magellanhealth.com</a> --service=login</div>
<div>---------------------</div><div>Access granted: False</div><div>---------------------</div></div><div><br></div><div>But:</div><div><br></div><div><div>[jebalicki@mo0033802 ~]$ telnet sla765q1</div><div>Trying 10.200.5.137...</div>
<div>Connected to sla765q1.</div><div>Escape character is '^]'.</div><div> telnet (<a href="http://sla765q1.unix.magellanhealth.com">sla765q1.unix.magellanhealth.com</a>)</div><div>[login banner and blank lines removed]</div>
<div>AIX Version 6</div><div>Copyright IBM Corporation, 1982, 2011.</div><div>login: testuser</div><div>testuser's Password:</div><div>-bash-3.2$ logout</div><div>Connection closed by foreign host.</div></div><div><br>
</div><div>AIX was configured with standard authentication at first:</div><div><br></div><div><div>ROOT@sla765q1.unix.magellanhealth.com:/etc/security/ldap # lsauthent</div><div>Standard Aix</div></div><div><br></div><div>
But I changed that to add kerberos:</div><div><br></div><div><div>ROOT@sla765q1.unix.magellanhealth.com:/etc/security/ldap # lsauthent</div><div>Kerberos 5</div><div>Standard Aix</div></div><div><br></div><div>However, all that does is cause kerberos to timeout on the invalid user and then fall back to allowing the user in anyway.</div>
<div><br></div><div>I'm still investigating to see if this is an implementation problem, or if AIX is just incapable of this.</div><div><br></div><div>I continue to lobby for turning off telnet, but there is political pressure to keep it open.</div>
<div><br></div><div>Anyone have any ideas for things I could try?</div><div><br></div><div>Thanks,</div><div><br></div><div>--Jason</div><div><br></div><div><br></div>-- <br>The government is going to read our mail anyway, might as well make it tough for them.  GPG Public key ID:  B6A1A7C6
</div>