Puncte:0

Folosind ssh cu sssd pentru parolă sau cheie publică și extinderea cu suport MFA prin PAM

drapel si

Așa că, după câteva teste și discuții ample, nu mai pot să-mi înțeleg singur această problemă.

Obiectiv: autentificarea prin ssh cu cheia publică sau parola și utilizarea PAM pentru MFA.

Sistemul folosit este Ubuntu Server 20.04

Împărțirea acestuia în părți gestionabile a arătat, de asemenea, unele dificultăți în combinarea diferitelor părți.

Autentificarea cu cheia publică și utilizarea PAM pentru MFA nu reprezintă o problemă. Autentificarea cu parolă și utilizarea PAM pentru MFA nu este o problemă. Utilizarea fie a cheii publice, fie a parolei este puțin diferită. Combinarea cu MFA pare imposibilă.

Problema pare să țină de modul în care SSHD autentifică utilizatorul cu parola.SSHD nu poate face acest lucru fără PAM, deoarece fișierul umbră utilizator nu poate fi citit fără PAM. Activarea PAM și activarea pam_env.so și pam_sssd.so pentru stiva de autentificare rezolvă acest lucru.

Deci, folosind PAM, mă pot autentifica fie cu cheia publică, fie cu parolă. Ceea ce nu înțeleg este de ce SSHD are nevoie de fișierul umbră utilizator pentru autentificarea parolei și nu pentru cheia publică? Încă îmi primesc grupurile și totul folosind cheia publică, fără PAM și folosind SSSD pentru a furniza cheile publice cu comanda authorized_keys.

Pentru a mă autentifica folosind parola, am nevoie de modulul pam corespunzător din stiva de autentificare.

Aceasta nu ar fi o mare problemă, dar scopul este de a activa MFA și de a nu solicita utilizatorului parola decât dacă este necesară. AMF trebuie implementat folosind PAM. Utilizarea PAM alături de cheile publice nu este o problemă, setarea metodei „publickey,keyboard-interactive” în sshd_config transmite aceasta către PAM și setarea modulului PAM după pam_env.so pentru MFA permite acest lucru.

Dar activarea metodelor „parolă, tastatură-interactivă” necesită modulul pam_sss.so, așa că atunci mi se va cere o parolă chiar dacă folosesc metoda cheii publice și apoi mi se va solicita MFA.

Cum navighez în această problemă, astfel încât să mă pot autentifica prin ssh cu parola de la sssd sau cheia publică de la sssd? Iar pasul următor, PAM fiind o cerință sau nu pentru parolă (de preferință nu), oricum, cum se implementează MFA?

Deoarece acest lucru încă se învârte în capul meu, sunt sigur că pot explica lucrurile mai bine, dar am făcut tot posibilul să-mi explic dificultățile.

Lucrurile în care am citit sunt sssd, pam_ssh, pam_sssd, pam_ssh_agent_auth, sshd. Citiți și documentația pentru DUO, Google MFA, RedHat.

Ceva gânduri sau idei?

Orice feedback ar fi foarte apreciat.

Mulțumiri!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.