Solaris 10 でパスワードベースの認証を特定のユーザーに制限することはできますか?
特定のユーザーはパスワードでログインすべきではありません。代わりに、キーでのみログインできるようにする必要があります。別のシステムのパスワードとキーに基づいて SSH 経由のユーザー ログインを制限することを計画しています。これにより、特定のユーザーはパスワードでログインでき、特定のタイプのユーザーはキーでのみログインできるようになります。
答え1
Solaris 10 では、/etc/nsswitch.conf のパスワード データベースに「ファイル」ソースを使用している限り、/etc/shadow ファイルでアカウントに有効なパスワードがないことを確認して、ユーザーがパスワードを使用してログインするのを防ぐことができます。これを行うメカニズムでは、パスワード フィールドにリテラル テキスト「NP」が挿入されるため、「アカウントの NP 化」と呼ばれます。
特定のアカウントに対してこれを行うコマンドは ですpasswd -N <account>。この目的には、シャドウ ファイルを直接編集するのではなく、常に passwd コマンドを使用してください。
アカウント ( passwd -l) をロックしないように注意してください。ロックすると、ssh 経由でログインするためのキーも使用できなくなります。
後で、SecurID などの 2 要素認証や、別の形式の RADIUS 認証 (SSH PKI に加えて) を使用することにした場合は、PAM を介してこれを実装します。この場合、/etc/passwd との一致が失敗した場合 (この場合のように)、入力されたパスワードは次のプロバイダーに渡される必要があります。
答え2
私の回答が的外れなようでしたら申し訳ありませんが、あなたの質問は私には少し不明瞭です。やってみます!
OpenSSH 5.x以降では、特定のユーザー(マッチユーザー) およびグループ (マッチグループ)を設定します。私は単に次のようなものをsshd_config:
一致ユーザー rajkumar
パスワード認証なし
チャレンジレスポンス認証なし
公開鍵認証あり
Solaris に実装された PAM を備えた適切なプラグ可能認証モジュールを使用すれば、おそらく同じ結果を達成できるでしょう。
幸運を!