Authentification à 2 facteurs dans SSH à l'aide de la clé publique et de PAM

9

J'essaie de configurer l'authentification à 2 facteurs. Je souhaite que l'utilisateur se connecte correctement si:

  • La clé publique privée / publique correspond (méthode d'authentification: publickey) ou le mot de passe est correct
  • Ma méthode d'authentification pam a réussi.

La deuxième méthode d'authentification est un fichier PAM. Alors je place dans /usr/lib/pam/et ajouté auth required my_pam_module.sodans /etc/pam.d/sshd.
Jusqu'à présent, je peux me connecter en utilisant la (méthode publickey) ou (un mot de passe et tout ce qui est requis par mon module pam). Donc , j'ai ajouté AuthenticationMethods publickey,keyboard-interactivedans /etc/sshd_configet maintenant je suis tenu d'avoir la clé publique, mot de passe, et « tout ce qui est requis par le module me pam ».

Quelles lignes dois-je changer pour réaliser ce que j'ai décrit ci-dessus? J'utilise Mac OS X Mavericks (10.9). Si vous n'êtes pas familier avec Mac, cela pourrait également aider ce que vous feriez sur votre système Linux.

ssh  authentication  pam 
Matt3o12
source

Réponses:

2

C'est assez simple pour "publickey-> password-> your_module" ou "password-> your_module". Impossible de trouver le moyen de supprimer le mot de passe de la première chaîne

publickey, keyboard-interactive - signifie que l'authentification publickey sera utilisée et clavier-interactif après cela (sorte de AND logique), remplacez la virgule par un espace pour le OU logique, comme

AuthenticationMethods publickey, clavier interactif: pam clavier interactif: pam

Dmitri Sosnik
source
Quand j'écris keyboard-interactive:pamdans la config, ssh_exchange_identification: Connection closed by remote host
j'obtiens
Essayez d'exécuter le client ssh en mode verbeux, cela vous donnera plus d'informations sur ce qui ne va pas. Comme, 'ssh -vvv <hostname>'
Dmitri Sosnik
voici le journal détaillé de ssh: pastebin.com/hXTaCJ6f . Vous pouvez également trouver des parties pertinentes de mon journal de serveur ci-dessous (les dernières informations rapportées par sshd). Dois-je remplacer pam par "my_pam_method"?
Matt3o12
Vous vous demandez simplement, avez-vous ajouté "ChallengeResponseAuthentication yes" et "UsePAM yes" à la configuration sshd?
Dmitri Sosnik
Il n'était pas réglé sur oui mais je l'ai changé, bien que rien n'ait changé (toujours la même erreur). Cela a-t-il fonctionné pour vous? Et si oui, quel OpenSSL utilisez-vous?
Matt3o12
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.