私はYubikeyのPAMモジュールをサーバーの追加認証層として使用しています。
デバイスが特定のSSH証明書を使用して認証を試みるときに、この認証モジュールをスキップしたいと思います。
特定のIP /サブネットを使用してこれを行うことが可能であることがわかりますaccess.conf。 SSH証明書を介してアクセスをフィルタリングできますか?
理想的には、1つの証明書が追加の認証モジュールをスキップし、他のすべての証明書が完全な認証を実行します。
答え1
sshd_configディレクティブを見たいかもしれません。マッチ。
次のように書くことができます(テストされていません)。
Match User certsysuser1
AuthenticationMethods publickey
UsePAM no
この例では、certsysuser1OpenSSH証明書のサブジェクト名(vulgoユーザー名)です。