(SSH 2FA) Öffentlicher Schlüssel ODER Passwort + PAM Google Authenticator


0

Ich versuche, eine bedingte Kombination der Zwei-Faktor-Authentifizierung für meinen SSH-Server zu erhalten ( OpenSSH_6.7p1 ) aber nachdem ich gelesen und gelesen hatte, konnte ich nicht finden, wie ich das einrichten sollte, was ich dachte. Ich habe das gerade gefunden Post mit dem gleichen Fall wie ich (besser erklärt auch), aber ungelöst.

Ich habe eine 2FA-Methode mit Google Authenticator TOTP gemäß den beschriebenen Schritten eingerichtet Hier .

Was ich beim Einloggen erreichen möchte:

Wenn ein gültiger Schlüssel angegeben ist, fragen Sie nach dem TOTP.
Wenn kein Schlüssel angegeben ist, fragen Sie nach dem Kontokennwort und dann nach dem TOTP.

Ich habe erfolgreich andere Optionen konfiguriert, wie:

  • Publickey + Passwort + TOTP Google Authenticator (1)
  • Publickey + TOTP (2)
  • Passwort + TOTP (3)

Was es bedeutet, habe ich geändert ChallengeResponseAuthentication zu yes im sshd_config. Ich habe die Zeile bereits kommentiert @include common-auth im pam.d/sshd für den Fall 2. Ich habe auch verschiedene Optionen für das ausprobiert AuthenticationMethods Direktive in der Datei sshd_config (Fall 1,2).
Nachdem ich den Mann von SSH gelesen habe, kann ich mir vorstellen, dass das Problem darin liegt pam.d/sshd:

UsePAM Aktiviert die Schnittstelle des Pluggable Authentication Module. Wenn auf gesetzt              "yes" aktiviert die PAM-Authentifizierung mit              ChallengeResponseAuthentication und PasswordAuthentication in              Zusätzlich zur PAM-Konto- und Sitzungsmodulverarbeitung für alle              Authentifizierungstypen.
Da die PAM-Challenge-Response-Authentifizierung in der Regel eine              äquivalente Rolle zur Passwortauthentifizierung, sollten Sie deaktivieren              entweder PasswordAuthentication oder ChallengeResponseAuthentication.

Ich wäre sehr dankbar, wenn mir jemand einen Rat geben könnte, wie ich vorgehen soll (falls dies möglich ist). Vielen Dank.


Sie können verwenden cern-cert.github.io/pam_2fa was versucht, etwas ähnliches zu erreichen. Aber genau diese Konfiguration, die Sie erreichen möchten, ist fast unmöglich einzurichten.
Jakuje

Danke für deine Antwort. Ich habe überprüft, was auf dem Link steht und du hast Recht. Das einzige, was ich erreichen könnte, ist, zweimal nach dem TOTP zu fragen, aber das Warten zwischen dem Erzeugen des nächsten Codes macht es nicht wirklich praktisch.
jmox
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.