configure pam com ssh para fazer autenticação de 2 fatores

configure pam com ssh para fazer autenticação de 2 fatores

Estou tentando configurar o ssh com meu servidor radius personalizado para autenticação.

Então, o que eu quero é: primeiro, ele deve autenticar com o login ssh atual (login unix) e, em seguida, solicitar ao usuário a segunda senha para o radius.

Estou configurando /etc/pam.d/sshd da seguinte maneira

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

Mas então minha primeira autenticação não acontece. Imediatamente vai para o raio.

De acordo com pam_radius ..try_first_pass

....Se não havia senha anterior ou se a senha anterior falhar na autenticação, solicite ao usuário "Digite a senha RADIUS:" e peça outra senha. Experimente esta senha e retorne sucesso/falha conforme apropriado.

Responder1

Não posso responder aos comentários da outra resposta, mas você tentou definir ambas authas linhas em requiredvez de definir o raio como sufficient?

Responder2

acho que seu login ssh falha e vai diretamente para a autenticação do radius. o que acontece quando você insere uma senha de raio? quando meu palpite estiver correto, sua autenticação deverá falhar, não importa se você digita uma senha correta ou falsa para sua autenticação radius.

para depurar um pouco mais esse problema, poste sua saída de depuração.

você deve desabilitar sua autenticação radius para ter certeza de que sua autenticação ssh está funcionando.

informação relacionada