Назад | Перейти на главную страницу

настроить pam с ssh для двухфакторной аутентификации

Я пытаюсь настроить ssh с моим настраиваемым сервером радиуса для аутентификации.

Итак, что я хочу, сначала он должен пройти аутентификацию с помощью текущего входа в систему ssh (вход в систему unix), а затем запросить у пользователя второй пароль для радиуса.

Я настраиваю /etc/pam.d/sshd следующим образом

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

Но тогда моя первая аутентификация вообще не происходит. Сразу идет на радиус.

Согласно pam_radius ..try_first_pass

.... Если предыдущего пароля не было или предыдущий пароль не прошел аутентификацию, попросите пользователя ввести пароль RADIUS: и запросите другой пароль. Попробуйте этот пароль и верните успех / неудачу, если необходимо.

Я не могу ответить на комментарии другого ответа, но пробовали ли вы установить оба auth линии к required вместо радиуса быть установленным как sufficient?

Я думаю, что ваш вход в ssh не работает, а затем напрямую переходит к аутентификации радиуса. что происходит, когда вы вводите пароль радиуса? когда моя догадка верна, ваша авторизация должна завершиться ошибкой, независимо от того, вводите ли вы правильный или ложный пароль для авторизации радиуса.

чтобы немного отладить эту проблему, опубликуйте результаты отладки.

вам следует отключить авторизацию по радиусу, чтобы убедиться, что ваша авторизация по ssh работает.