Estou tentando obter uma combinação condicional de autenticação de dois fatores para meu servidor SSH ( OpenSSH_6.7p1 ), mas depois de ler e ler, não consegui descobrir como configurar o que eu pensava. Acabei de encontrar esta postagem com o mesmo caso que eu (melhor explicado também) mas não resolvido.
Eu configurei um método 2FA com o Google Authenticator TOTP seguindo as etapas descritas aqui .
O que eu quero alcançar ao tentar efetuar login:
Se uma chave válida for fornecida, solicite o TOTP.
Se nenhuma chave for fornecida, peça a senha da conta e, em seguida, o TOTP.
Eu configurei com sucesso outras opções como:
O que isso significa, eu mudei ChallengeResponseAuthentication para yes em sshd_config . Eu já comentei a linha @include common-auth em pam.d/sshd para o caso 2. Eu também tentei diferentes opções para a diretiva AuthenticationMethods no arquivo sshd_config (case 1,2).
Depois de ler o homem do SSH, posso imaginar que o problema está em pam.d/sshd :
UsePAM Ativa a interface Pluggable Authentication Module. Se definido para
"sim", isso ativará a autenticação do PAM usando
ChallengeResponseAuthentication and PasswordAuthentication in
além da conta do PAM e processamento do módulo de sessão para todos
tipos de autenticação.
Como a autenticação de desafio-resposta PAM geralmente serve
papel equivalente à autenticação de senha, você deve desativar
PasswordAuthentication ou ChallengeResponseAuthentication.
Eu ficaria muito grato se alguém pudesse me dar alguns conselhos sobre como proceder (caso seja possível alcançá-lo). Obrigado.
Tags ssh