J'utilise Ubuntu 14.04.1 (avec OpenSSH 6.6 et libpam-google -hentator 20130529-2).
J'essaie de configurer des connexions SSH où la clé publique s'authentifie (sans mot de passe) et un utilisateur est invité à entrer un code de l'authentificateur de Google.
Suivre / adapter ces instructions m'a donné une invite de mot de passe ainsi qu'une invite Google Auth:
- https://scottlinux.com/2013/06/02/use-google-authenticator-for-two-factor-ssh-authentication-in-linux/
- http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/
- https://wiki.archlinux.org/index.php/Google_Authenticator et https://wiki.archlinux.org/index.php/SSH_keys#Two-factor_authentication_and_public_keys
- https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication
J'ai installé le package, modifié mes fichiers /etc/ssh/sshd_config
et/etc/pam.d/ssh
Dans /etc/ssh/sshd_config
:
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
UsePAM yes
et en bas de /etc/pam.d/ssh
:
auth required pam_google_authenticator.so nullok # (I want to give everyone a chance to set up their 2FA before removing "nullok")
Je sais que PAM dépend de l'ordre, mais l'est sshd_config
aussi?
Qu'est-ce que je fais mal? Toute aide serait appréciée.
PasswordAuthentication no
, mais ce n'était pas ça. Le problème est / était que j'avais / haveControlMaster auto
et desControlPath
directives dans mon fichier ~ / .ssh / config. Je voulais m'assurer de ne pas m'enfermer, donc je laisserais toujours une session SSH ouverte. Étant donné que mon ordinateur ne ferait que les réutiliser, je suis toujours entré sans que le système ne demande un jeton. J'ai marqué votre réponse comme correcte, car quelqu'un qui la suivrait aurait en effet une configuration de travail. Merci!