使用 ssh 設定 pam 進行 2 因素身份驗證

使用 ssh 設定 pam 進行 2 因素身份驗證

我正在嘗試使用自訂 Radius 伺服器配置 ssh 進行身份驗證。

所以我想要的是,首先它應該使用目前的 ssh 登入名稱(unix 登入)進行身份驗證,然後提示使用者輸入 radius 的第二個密碼。

我正在設定 /etc/pam.d/sshd 如下

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

但我的第一次身份驗證根本沒有發生。它立即轉到半徑。

根據 pam_radius ..try_first_pass

....如果沒有先前的密碼,或先前的密碼驗證失敗,則提示使用者“輸入 RADIUS 密碼:”,並要求輸入另一個密碼。嘗試此密碼,並根據需要返回成功/失敗。

答案1

我無法回覆其他答案的評論,但是您是否嘗試將這兩auth行設置為required而不是將半徑設置為sufficient

答案2

我認為你的ssh登入失敗,然後直接進入radius身份驗證。輸入 Radius 密碼後會發生什麼事?當我的猜測正確時,無論您為 Radius 身份驗證輸入正確還是錯誤的密碼,您的身份驗證都應該失敗。

要進一步調試這個問題,請發布您的調試輸出。

您應該停用 Radius 身份驗證以確保 ssh 身份驗證正常運作。

相關內容