configure pam con ssh para realizar autenticación de 2 factores

configure pam con ssh para realizar autenticación de 2 factores

Estoy intentando configurar ssh con mi servidor Radius personalizado para la autenticación.

Entonces, lo que quiero es que primero se autentique con el inicio de sesión ssh actual (inicio de sesión de Unix) y luego solicite al usuario una segunda contraseña para Radius.

Estoy configurando /etc/pam.d/sshd de la siguiente manera

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

Pero entonces mi primera autenticación no ocurre en absoluto. Inmediatamente va por el radio.

Según pam_radius ..try_first_pass

....Si no había una contraseña anterior, o la contraseña anterior falla en la autenticación, solicite al usuario "Ingrese la contraseña de RADIUS: " y solicite otra contraseña. Pruebe esta contraseña y devuelva éxito/fracaso según corresponda.

Respuesta1

No puedo responder a los comentarios de la otra respuesta, pero ¿ha intentado configurar ambas authlíneas en requiredlugar de establecer el radio en sufficient?

Respuesta2

Creo que su inicio de sesión ssh falla y luego va directamente a la autenticación de radio. ¿Qué sucede cuando ingresas una contraseña de radio? cuando mi suposición es correcta, su autenticación debería fallar, sin importar si ingresa una contraseña correcta o falsa para su autenticación de radio.

Para depurar este problema un poco más, publique su resultado de depuración.

debe desactivar su autenticación de radio para asegurarse de que su autenticación ssh esté funcionando.

información relacionada