настроить pam с ssh для выполнения двухфакторной аутентификации

настроить pam с ssh для выполнения двухфакторной аутентификации

Я пытаюсь настроить ssh с моим собственным сервером Radius для аутентификации.

Итак, я хочу, чтобы сначала он прошел аутентификацию с текущим логином SSH (логином Unix), а затем запросил у пользователя второй пароль для Radius.

Я настраиваю /etc/pam.d/sshd следующим образом

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

Но тогда моя первая аутентификация вообще не происходит. Она сразу уходит на радиус.

Согласно pam_radius ..try_first_pass

....Если предыдущего пароля не было или предыдущий пароль не прошел аутентификацию, предложите пользователю "Введите пароль RADIUS: " и попросите ввести другой пароль. Попробуйте ввести этот пароль и верните успех/неудачу в зависимости от ситуации.

решение1

Я не могу ответить на комментарии к другому ответу, но пробовали ли вы установить обе authлинии на requiredвместо того, чтобы радиус был установлен как sufficient?

решение2

Я думаю, что ваш вход по SSH не удается, а затем он напрямую переходит к аутентификации Radius. Что происходит, когда вы вводите пароль Radius? Если моя догадка верна, ваша аутентификация должна завершиться неудачей, независимо от того, ввели ли вы правильный или ложный пароль для аутентификации Radius.

Чтобы немного подробнее разобраться в этой проблеме, пожалуйста, опубликуйте свой отладочный вывод.

Вам следует отключить аутентификацию RADIUS, чтобы быть уверенным, что аутентификация ssh работает.

Связанный контент