Uwierzytelnianie 2-czynnikowe w SSH przy użyciu klucza publicznego i PAM

9

Próbuję skonfigurować uwierzytelnianie 2-czynnikowe. Chcę, aby użytkownik zalogował się pomyślnie, jeśli:

  • Publiczny klucz prywatny / publiczny pasuje (metoda uwierzytelnienia: klucz publiczny) lub hasło jest prawidłowe
  • Moja metoda uwierzytelniania pam jest udana.

Druga metoda uwierzytelniania to plik PAM. Więc umieścić go /usr/lib/pam/i dodał auth required my_pam_module.sow /etc/pam.d/sshd.
Do tej pory mogę zalogować się przy użyciu (metody publickey) lub (hasło i cokolwiek jest wymagane przez moduł pam). Tak I dodaje AuthenticationMethods publickey,keyboard-interactivesię /etc/sshd_configi teraz jestem wymagane jest posiadanie klucza publicznego, hasło i „wszystko, co jest wymagane przez moduł PAM mnie”.

Jakie linie muszę zmienić, aby osiągnąć to, co opisałem powyżej? Używam Mac OS X Mavericks (10.9). Jeśli nie jesteś zaznajomiony z komputerem Mac, może również pomóc w tym, co możesz zrobić w systemie Linux.

Matt3o12
źródło

Odpowiedzi:

2

Jest to dość łatwe dla „publickey-> hasło-> twój_moduł” lub „hasło-> twój_moduł”. Nie mogę znaleźć sposobu na usunięcie hasła z pierwszego łańcucha

publickey, klawiatura-interaktywna - oznacza, że ​​zostanie potem użyte autickey auth, a następnie klawiatura-interaktywna (rodzaj logicznego AND), zamień przecinek na miejsce na logiczne OR, takie jak

AuthenticationMethods publickey, klawiatura-interaktywna: pam klawiatura-interaktywna: pam

Dmitri Sosnik
źródło
Kiedy piszę keyboard-interactive:pamw konfiguracji, ssh_exchange_identification: Connection closed by remote host
pojawia
Spróbuj uruchomić klienta ssh w trybie pełnym, to da ci więcej informacji o tym, co się dzieje. Na przykład „ssh -vvv <nazwa_hosta>”
Dmitri Sosnik
tutaj jest pełny dziennik ssh: pastebin.com/hXTaCJ6f . Możesz również znaleźć odpowiednie części mojego dziennika serwera poniżej (najnowsze rzeczy, które raportował sshd). Czy muszę zastąpić PAM „my_pam_method”?
Matt3o12,
Zastanawiam się, czy dodałeś „ChallengeResponseAuthentication yes” i „UsePAM yes” do konfiguracji sshd?
Dmitri Sosnik
To nie było ustawione na tak, ale zmieniłem to, chociaż nic się nie zmieniło (wciąż pojawia się ten sam błąd). Czy ci się udało? A jeśli tak, jakiego OpenSSL używasz?
Matt3o12,