https://blog.serviciosrogeliowar.com/tags/totp/Recent content in Totp on Servicios RogeliowarHugo -- gohugo.ioes© 2026 Rogelio Guerra RiverónThu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/errores-frecuentes-freeradius-pam-diagnostico/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/errores-frecuentes-freeradius-pam-diagnostico/<p>Configurar FreeRADIUS 3.x con autenticación PAM —especialmente combinando <code>pam_google_authenticator</code>, <code>pam_winbind</code> y fail2ban— genera un conjunto de errores que aparecen una y otra vez. Este artículo los recoge con causa exacta y solución directa, sin rodeos.</p> <h2 class="relative group">Tabla resumen <div id="tabla-resumen" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#tabla-resumen" aria-label="Ancla">#</a> </span> </h2> <table> <thead> <tr> <th>#</th> <th>Síntoma</th> <th>Causa raíz</th> <th>Solución rápida</th> </tr> </thead> <tbody> <tr> <td>1</td> <td><code>Failed to change user id to &quot;usuario&quot;</code></td> <td><code>user=root</code> en pam conf, freerad no puede hacer setuid</td> <td><code>user=freerad</code> + <code>chown freerad /etc/google-authenticator/</code></td> </tr> <tr> <td>2</td> <td><code>user not found</code> / <code>getpwnam() failed</code></td> <td>Winbind sin idmap RID, los usuarios AD no tienen UID Unix</td> <td>Añadir bloques <code>idmap config</code> en smb.conf + reiniciar winbind</td> </tr> <tr> <td>3</td> <td><code>Secret file permissions (0644) are more permissive than 0600</code></td> <td>Permisos demasiado abiertos en el fichero TOTP</td> <td><code>chmod 600 /etc/google-authenticator/*</code></td> </tr> <tr> <td>4</td> <td><code>Failed to create tempfile: Permission denied</code></td> <td>Directorio TOTP propiedad de root, freerad no puede escribir</td> <td><code>chown freerad:freerad /etc/google-authenticator/</code></td> </tr> <tr> <td>5</td> <td>Contraseñas visibles en el log tras desactivarlas</td> <td><code>auth_badpass</code> requiere reinicio, no reload; <code>auth_log</code> loguea independientemente</td> <td><code>systemctl restart freeradius</code> + revisar módulo <code>auth_log</code></td> </tr> <tr> <td>6</td> <td><code>No Auth-Type found: rejecting via Post-Auth-Type = Reject</code></td> <td>El virtual server no fuerza Auth-Type a PAP para rutas PAM</td> <td>Añadir <code>update control { &amp;Auth-Type := PAP }</code> en <code>authorize</code></td> </tr> <tr> <td>7</td> <td>fail2ban no arranca: <code>Jail 'sshd' is not valid</code></td> <td><code>logpath</code> duplicado en jail.local o jails de servicios inexistentes</td> <td><code>fail2ban-client -t</code> + eliminar duplicados y jails inactivos</td> </tr> </tbody> </table> <hr> <h2 class="relative group">Error 1: <code>Failed to change user id to &quot;usuario&quot;</code> <div id="error-1-failed-to-change-user-id-to-usuario" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#error-1-failed-to-change-user-id-to-usuario" aria-label="Ancla">#</a> </span> </h2> <h3 class="relative group">Síntoma <div id="síntoma" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#s%c3%adntoma" aria-label="Ancla">#</a> </span> </h3> <div class="highlight-wrapper"><div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-text" data-lang="text"><span style="display:flex;"><span>(0) pam: pam_authenticate: Failed to change user id to &#34;usuario&#34; </span></span><span style="display:flex;"><span>(0) pam: ERROR: PAM auth for user &#34;usuario&#34; failed</span></span></code></pre></div></div> <h3 class="relative group">Causa <div id="causa" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#causa" aria-label="Ancla">#</a> </span> </h3> <p><code>pam_google_authenticator.so</code> se carga con el parámetro <code>user=root</code>, lo que obliga a PAM a hacer <code>setuid(root)</code> antes de leer el fichero TOTP. El proceso <code>freeradius</code> corre como usuario <code>freerad</code> y no tiene permiso para asumir la identidad de root.</p>https://blog.serviciosrogeliowar.com/posts/fortibleed-fortigate-freeradius-mfa-hardening/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/fortibleed-fortigate-freeradius-mfa-hardening/<p>El 7 de junio de 2026 Fortinet confirmó lo que los investigadores de seguridad llevaban semanas documentando: una campaña de compromiso masivo contra dispositivos FortiGate que dejó 75.000 equipos afectados en 194 países. El ataque combinó una vulnerabilidad de autenticación SAML (CVE-2026-24858, CVSS 9.8) con un fallo en cómo FortiOS almacenaba las contraseñas durante el proceso de actualización. El resultado: 1.160 millones de intentos de autenticación en 29 días, credenciales de administrador en manos de actores de amenaza y acceso directo a redes corporativas a través de las mismas VPN diseñadas para protegerlas.</p>https://blog.serviciosrogeliowar.com/posts/freeradius-totp-active-directory-mfa-vpn-empresarial/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/freeradius-totp-active-directory-mfa-vpn-empresarial/<h2 class="relative group">El problema <div id="el-problema" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#el-problema" aria-label="Ancla">#</a> </span> </h2> <p>Un FortiGate configurado con SSL-VPN autenticando contra Active Directory solo pide usuario y contraseña. Si esas credenciales se filtran —un phishing, un password reutilizado, un volcado de NTDS— cualquiera entra a la red corporativa desde internet. El segundo factor elimina ese vector: aunque el atacante tenga la contraseña, sin el código TOTP del momento no pasa.</p>https://blog.serviciosrogeliowar.com/posts/provisioning-totp-urls-un-solo-uso-qr-codes-email/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/provisioning-totp-urls-un-solo-uso-qr-codes-email/<p>Configurar TOTP (Time-based One-Time Password) en un entorno con varios usuarios tiene un problema de distribución: el secret TOTP tiene que llegar al dispositivo del usuario de forma segura. La solución habitual —que el administrador escanee el QR en el teléfono del usuario— no escala, no es cómoda y rompe el modelo de privacidad. Este artículo documenta un microservicio Python que resuelve el problema generando URLs de un solo uso con TTL que el usuario consume desde su propio dispositivo.</p>