SSH公開鍵+TOTPとパスワード+TOTP同時

SSH公開鍵+TOTPとパスワード+TOTP同時

一部のユーザーはSSHキーを使用することを好みますが、他のユーザーはLDAP提供のパスワードを好むSSHサーバーを設定しようとしています。

sshd_config公開鍵+ PAMまたはPAM専用認証を設定できることがわかりました。

AuthenticationMethods publickey,keyboard-interactive:pam keyboard-interactive:pam

PAM部分が期待どおりに機能します。ユーザーがLDAPパスワードを入力し、確認コードの入力を求められます。

ただし、公開鍵認証は、ユーザーが鍵を使用し、LDAPパスワードを入力してから認証コードを入力するように機能します。 (キーユーザーにもパスワードを要求したくありません。)

2FA認証コードの要求中にキーユーザーがパスワードを入力する必要がないようにサポートできますか?一方、鍵を提供していないユーザーもパスワードを使用して認証でき、2FA認証コードも要求できますか?

注:私たちはシステム上で単一のSSHサーバープロセスを実行することを望み、異なるポートで複数のSSHサーバーを実行するなどのソリューションを使用しないことを好みます。

ありがとうございます!

答え1

このRedHatの記事があなたに役立つと思います。 sshd_configで次のことができるようです。

デフォルトログインをLDAPパスワード+ TOTPに設定するには

AuthenticationMethods publickey,keyboard-interactive

次に、ユーザーごとに公開キー+TOTPを設定します。

Match user <username>

           AuthenticationMethods publickey,keyboard-interactive

Linuxシステムでのマルチレベル認証の設定

関連情報