Рейтинг:1

Аутентификация SSH: (открытый ключ xor пароль) + код аутентификатора Google

флаг bd

Я использую Debian яблочко. Я пытаюсь настроить SSH два типа входа:

  1. пароль + код от Google Authenticator (если пользователь установил его, опция "nullok"),
  2. открытый ключ + код от Google Authenticator (если пользователь установил его, опция «nullok»).

Тип № 1 работает для меня. В типе № 2 у меня есть открытый ключ + пароль (не кодовая фраза открытого ключа) + код от GA. Я добавил эту строку в /etc/ssh/sshd_config

Публичный ключ, интерактивная клавиатура, интерактивная клавиатура, методы аутентификации

Я бы хотел, чтобы у пользователя не запрашивался пароль, если ключ был предоставлен. А именно, как обойти требование pam_unix.so, если был предоставлен открытый ключ?

Есть ли способ выполнить то, что я хочу, на одной машине? Заранее спасибо.

Erhard Czving avatar
флаг mw
Объяснение типа №2 мне непонятно. Похоже, что для ключа SSH установлена ​​парольная фраза или какой пароль вы имеете в виду? У вас есть индивидуальная конфигурация SSH или PAM, для которой требуется пароль даже после успешной аутентификации SSH?
Karol avatar
флаг bd
Спасибо. Я отредактировал свой вопрос и добавил некоторую информацию для уточнения.
Рейтинг:0
флаг bd

Наверное, я решил это.

Проект CERN PAM_2FA содержит второстепенный модуль pam: pam_ssh_user_auth.so. Этот модуль может сообщить PAM, были ли какие-либо ранее успешные аутентификации sshd, такие как открытый ключ (PAM_SUCCESS).Итак, я внес следующие изменения в:

/etc/ssh/sshd_config:

ПарольАутентификация нет
ВызовОтветАутентификация да 
ИспользоватьPAM да 
AuthenticationMethods клавиатура-интерактивная: pam publickey, клавиатура-интерактивная: pam

/etc/pam.d/sshd:

auth [success=2 ignore=ignore default=die] pam_ssh_user_auth.so
auth [success=1 default=ignore] pam_unix.so nullok
реквизиты авторизации pam_deny.so
auth [success=ok ignore=ignore default=bad] pam_google_authenticator.so nullok
требуется авторизация pam_permit.so

Это позволяет пропустить запрос пароля при предоставлении открытого ключа.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.