Ограничить пользователя аутентификацией SSH с помощью ключа

В Solaris 10, пока вы используете источник "files" для базы данных паролей в /etc/nsswitch.conf, вы можете запретить пользователю входить в систему с паролем, убедившись, что у учетной записи нет допустимого пароля в файле /etc/shadow. Поскольку механизм для этого вставляет буквальный текст "NP" в поле пароля, это известно как "NPing the account".

Команда для выполнения этого для конкретной учетной записи — passwd -N <account>. Всегда используйте команду passwd для этой цели, а не редактируйте файл shadow напрямую.

Будьте осторожны и не заблокируйте учетную запись ( passwd -l), так как это также сделает невозможным использование ключей для входа через SSH.

Если позже вы решите использовать какую-либо форму двухфакторной аутентификации, например SecurID или другую форму аутентификации RADIUS (в дополнение к SSH PKI), вы должны реализовать это через PAM. В этом случае введенный пароль должен быть передан следующему провайдеру, если совпадение с /etc/passwd не сработает, как это и произойдет в данном случае.

Извините, если мой ответ может быть неуместным, но ваш вопрос мне немного неясен. Я попробую!

Начиная с OpenSSH 5.x и более поздних версий вы можете сопоставлять определенных пользователей (Соответствие пользователя) и группы (Группа соответствия) в файле конфигурации. Я бы просто добавил что-то вроде этого в свойsshd_config:

Соответствие пользователя rajkumar
ПарольАутентификация нет
ChallengeResponseАутентификация нет
PubkeyАутентификация да

Вероятно, того же результата можно было бы добиться, используя подходящий подключаемый модуль аутентификации с реализацией PAM в Solaris.

Удачи!