Beschränken Sie einen Benutzer auf die SSH-Authentifizierung mit einem Schlüssel

Question 1

In Solaris 10 können Sie, solange Sie die „files“-Quelle für die Passwortdatenbank in /etc/nsswitch.conf verwenden, verhindern, dass sich ein Benutzer mit einem Passwort anmeldet, indem Sie sicherstellen, dass das Konto kein gültiges Passwort in der Datei /etc/shadow hat. Da der Mechanismus hierfür den wörtlichen Text „NP“ in das Passwortfeld einfügt, wird dies als „NPing des Kontos“ bezeichnet.

Der Befehl, um dies für ein bestimmtes Konto durchzuführen, lautet passwd -N <account>: Verwenden Sie zu diesem Zweck immer den Befehl passwd, anstatt die Schattendatei direkt zu bearbeiten.

Achten Sie darauf, das Konto nicht zu sperren ( passwd -l), da dadurch auch die Verwendung von Schlüsseln für die Anmeldung per SSH verhindert wird.

Wenn Sie sich später dazu entschließen, eine Form der Zwei-Faktor-Authentifizierung wie SecurID oder eine andere Form der RADIUS-Authentifizierung (zusätzlich zur SSH-PKI) zu verwenden, würden Sie dies über PAM implementieren. In diesem Fall sollte das eingegebene Passwort an den nächsten Anbieter weitergegeben werden, wenn eine Übereinstimmung mit /etc/passwd fehlschlägt, wie es in diesem Fall der Fall ist.

Answer

In Solaris 10 können Sie, solange Sie die „files“-Quelle für die Passwortdatenbank in /etc/nsswitch.conf verwenden, verhindern, dass sich ein Benutzer mit einem Passwort anmeldet, indem Sie sicherstellen, dass das Konto kein gültiges Passwort in der Datei /etc/shadow hat. Da der Mechanismus hierfür den wörtlichen Text „NP“ in das Passwortfeld einfügt, wird dies als „NPing des Kontos“ bezeichnet.

Der Befehl, um dies für ein bestimmtes Konto durchzuführen, lautet passwd -N <account>: Verwenden Sie zu diesem Zweck immer den Befehl passwd, anstatt die Schattendatei direkt zu bearbeiten.

Achten Sie darauf, das Konto nicht zu sperren ( passwd -l), da dadurch auch die Verwendung von Schlüsseln für die Anmeldung per SSH verhindert wird.

Wenn Sie sich später dazu entschließen, eine Form der Zwei-Faktor-Authentifizierung wie SecurID oder eine andere Form der RADIUS-Authentifizierung (zusätzlich zur SSH-PKI) zu verwenden, würden Sie dies über PAM implementieren. In diesem Fall sollte das eingegebene Passwort an den nächsten Anbieter weitergegeben werden, wenn eine Übereinstimmung mit /etc/passwd fehlschlägt, wie es in diesem Fall der Fall ist.

Question 2

Entschuldigen Sie, wenn meine Antwort vielleicht irrelevant ist, aber Ihre Frage ist mir nicht ganz klar. Ich werde es versuchen!

Seit OpenSSH 5.x und höher können Sie bestimmte Benutzer zuordnen (Benutzer abgleichen) und Gruppen (Gruppe abgleichen) in der Konfigurationsdatei. Ich würde einfach so etwas zu meinersshd_config:

Match User rajkumar
PasswordAuthentication nein
ChallengeResponseAuthentication nein
PubkeyAuthentication ja

Mit einem geeigneten Pluggable Authentication Module und in Solaris implementiertem PAM könnten Sie wahrscheinlich dasselbe Ergebnis erzielen.

Viel Glück!

Answer

Entschuldigen Sie, wenn meine Antwort vielleicht irrelevant ist, aber Ihre Frage ist mir nicht ganz klar. Ich werde es versuchen!

Seit OpenSSH 5.x und höher können Sie bestimmte Benutzer zuordnen (Benutzer abgleichen) und Gruppen (Gruppe abgleichen) in der Konfigurationsdatei. Ich würde einfach so etwas zu meinersshd_config:

Match User rajkumar
PasswordAuthentication nein
ChallengeResponseAuthentication nein
PubkeyAuthentication ja

Mit einem geeigneten Pluggable Authentication Module und in Solaris implementiertem PAM könnten Sie wahrscheinlich dasselbe Ergebnis erzielen.

Viel Glück!

Beschränken Sie einen Benutzer auf die SSH-Authentifizierung mit einem Schlüssel

Antwort1

Antwort2

verwandte Informationen