2-Faktor-Authentifizierung in SSH mit öffentlichem Schlüssel und PAM


9

Ich versuche, die 2-Faktor-Authentifizierung einzurichten. Ich möchte, dass sich der Benutzer erfolgreich anmeldet, wenn:

  • Der öffentliche private / öffentliche Schlüssel stimmt überein (Authentifizierungsmethode: öffentlicher Schlüssel) oder das Kennwort ist korrekt
  • Meine Pam-Authentifizierungsmethode ist erfolgreich.

Die zweite Authentifizierungsmethode ist eine PAM-Datei. So stelle ich es in /usr/lib/pam/und aufgenommen auth required my_pam_module.soin /etc/pam.d/sshd.
Bisher kann ich mich entweder mit der (publickey-Methode) oder (einem Passwort und was auch immer von mir als Pam-Modul benötigt wird) anmelden. So fügte ich AuthenticationMethods publickey,keyboard-interactivein /etc/sshd_configund jetzt bin ich verpflichtet , die öffentlichen Schlüssel, Passwort zu haben, und „was auch immer von mir pam Modul erforderlich ist“.

Welche Zeilen muss ich ändern, um das zu erreichen, was ich oben beschrieben habe? Ich verwende Mac OS X Mavericks (10.9). Wenn Sie mit Mac nicht vertraut sind, kann dies auch dazu beitragen, was Sie auf Ihrem Linux-System tun würden.

Antworten:


2

Es ist ganz einfach für "publickey-> password-> your_module" oder "password-> your_module". Ich kann den Weg nicht finden, um das Passwort aus der ersten Kette zu entfernen

publickey, tastaturinteraktiv - bedeutet, dass die publickey-Authentifizierung verwendet wird und die Tastatur danach interaktiv ist (Art des logischen UND). Ersetzen Sie das Komma durch ein Leerzeichen für das logische ODER

AuthenticationMethods publickey, tastaturinteraktiv: pam tastaturinteraktiv: pam


Wenn ich keyboard-interactive:pamin die Konfiguration schreibe , ssh_exchange_identification: Connection closed by remote host
erhalte

Versuchen Sie, den ssh-Client im ausführlichen Modus auszuführen. Dadurch erhalten Sie weitere Informationen darüber, was falsch läuft. Wie 'ssh -vvv <Hostname>'
Dmitri Sosnik

Hier ist das ausführliche Protokoll von ssh: pastebin.com/hXTaCJ6f . Unten finden Sie auch relevante Teile meines Serverprotokolls (die neuesten Meldungen von sshd). Muss ich pam durch "my_pam_method" ersetzen?
Matt3o12

Haben Sie sich nur gefragt, ob Sie "ChallengeResponseAuthentication yes" und "UsePAM yes" zu sshd config hinzugefügt haben?
Dmitri Sosnik

Es wurde nicht auf Ja gesetzt, aber ich habe es geändert, obwohl sich nichts geändert hat (immer noch der gleiche Fehler). Hat es bei dir funktioniert? Und wenn ja, welches OpenSSL verwenden Sie?
Matt3o12
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.