Autenticazione a 2 fattori in SSH mediante chiave pubblica e PAM

9

Sto cercando di configurare l'autenticazione a 2 fattori. Voglio che l'utente acceda correttamente se:

  • La chiave pubblica privata / pubblica corrisponde (metodo di autenticazione: chiave pubblica) o la password è corretta
  • Il mio metodo di autenticazione pam è andato a buon fine.

Il secondo metodo di autenticazione è un file PAM. Così ho posto in /usr/lib/pam/e aggiunto auth required my_pam_module.soin /etc/pam.d/sshd.
Finora posso accedere utilizzando il (metodo publickey) o (una password e tutto ciò che è richiesto dal mio modulo pam). Così ho aggiunto AuthenticationMethods publickey,keyboard-interactivein /etc/sshd_confige ora sto richiesto di avere la chiave pubblica, la password, e "tutto ciò che è richiesto da me pam modulo".

Quali linee devo cambiare per ottenere ciò che ho descritto sopra? Sto usando Mac OS X Mavericks (10.9). Se non hai familiarità con il Mac, potrebbe anche essere utile ciò che faresti sul tuo sistema Linux.

ssh  authentication  pam 
Matt3o12
fonte

Risposte:

2

È abbastanza facile per "publickey-> password-> your_module" o "password-> your_module". Impossibile trovare il modo per rimuovere la password dalla prima catena

publickey, tastiera-interattiva - significa che verrà utilizzata l'autorizzazione a chiave pubblica e successivamente tastiera-interattiva (tipo di AND logico), sostituisci la virgola con spazio per OR logico, come

AuthenticationMethods publickey, tastiera interattiva: pam tastiera interattiva: pam

Dmitri Sosnik
fonte
Quando scrivo keyboard-interactive:pamnella configurazione, visualizzo questo errore:ssh_exchange_identification: Connection closed by remote host
Matt3o12
Prova a eseguire ssh client in modalità dettagliata, ti darà maggiori informazioni su cosa non va. Ad esempio, "ssh -vvv <nomehost> '
Dmitri Sosnik il
ecco il registro dettagliato di ssh: pastebin.com/hXTaCJ6f . Di seguito puoi trovare anche le parti rilevanti del mio registro del server (le cose più recenti riportate da sshd). Devo sostituire pam con "my_pam_method"?
Matt3o12,
Mi chiedo, hai aggiunto "ChallengeResponseAuthentication yes" e "UsePAM yes" a sshd config?
Dmitri Sosnik,
Non era impostato su Sì, ma l'ho modificato, anche se non è cambiato nulla (continua a ricevere lo stesso errore). Ha funzionato per te? E se sì, quale OpenSSL stai usando?
Matt3o12
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.