SSH를 통해 Yubikey 인증을 구현하려고 합니다. /etc/pam.d/sshd 파일을 다음과 같이 편집했는데 제대로 작동하는 것 같습니다.로컬로 연결하는 동안( ssh user@localhost):
#%PAM-1.0
auth required pam_yubico.so id=20682 authfile=/etc/yubikey_mappings debug trace
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
그러나 원격 컴퓨터에서 연결하려고 하면 키를 입력하라는 메시지가 표시되지 않습니다. 예상되는 문제는 무엇입니까?
답변1
일반적인 논리는 셸 로그인을 처리하는 PAM 지원 프로그램이 순서대로 , 및 스택에 도달 auth하지만 account프로그램 session이 자체 구현으로 해당 기능 중 하나 이상을 처리하는 경우 이들 중 하나를 간단히 건너뛸 수 있다는 것입니다.
sshdPAM에 위임할 수 없는 몇 가지 인증 모드를 지원합니다. 이는 비밀번호 또는 시도-응답 협상 범위에 속하지 않는 방법에 의존하기 때문입니다. 이는 일반적으로 SSH 키, GSSAPI/krb5 등 키 또는 티켓 기반입니다.