一部のユーザーはSSHキーを使用することを好みますが、他のユーザーはLDAP提供のパスワードを好むSSHサーバーを設定しようとしています。
sshd_config
公開鍵+ PAMまたはPAM専用認証を設定できることがわかりました。
AuthenticationMethods publickey,keyboard-interactive:pam keyboard-interactive:pam
PAM部分が期待どおりに機能します。ユーザーがLDAPパスワードを入力し、確認コードの入力を求められます。
ただし、公開鍵認証は、ユーザーが鍵を使用し、LDAPパスワードを入力してから認証コードを入力するように機能します。 (キーユーザーにもパスワードを要求したくありません。)
2FA認証コードの要求中にキーユーザーがパスワードを入力する必要がないようにサポートできますか?一方、鍵を提供していないユーザーもパスワードを使用して認証でき、2FA認証コードも要求できますか?
注:私たちはシステム上で単一のSSHサーバープロセスを実行することを望み、異なるポートで複数のSSHサーバーを実行するなどのソリューションを使用しないことを好みます。
ありがとうございます!
答え1
このRedHatの記事があなたに役立つと思います。 sshd_configで次のことができるようです。
デフォルトログインをLDAPパスワード+ TOTPに設定するには
AuthenticationMethods publickey,keyboard-interactive
次に、ユーザーごとに公開キー+TOTPを設定します。
Match user <username>
AuthenticationMethods publickey,keyboard-interactive