Eu quero configurar um servidor ssh para nossos usuários. Nossos usuários se autenticam em relação ao nosso servidor ldap com criptografia Kerberos, na qual eles obtêm acesso aos seus diretórios iniciais. O servidor ssh tem que ouvir o mundo inteiro, porque nossos usuários podem estar em qualquer lugar. Então, decidimos que só permitiríamos o login com chave e configuraríamos o fail2ban de maneira bastante rígida.
O problema com a autenticação de chaves é que ele não funciona com diretórios pessoais criptografados. Então, mudei a autenticação de chave para fora do diretório home dos usuários com a opção "AuthorizedKeysFile" em sshd_config. O problema então é ... o usuário não obtém seu diretório home na autenticação da chave ... é claro ... eles não solicitam um kerberos principal. Como faço para configurar o ssh, para que ele faça a autenticação do pam depois que o login da chave for bem-sucedido, para que eles também vejam o diretório home deles? Alguém tem uma boa solução para isso?
Com versões recentes do OpenSSH, você pode exigir várias formas de autenticação do usuário (AuthenticationMethods). Use isso para exigir tanto a chave pública quanto a interativa com o teclado; o último você configura com ChallengeResponseAuthentication e UsePAM. Em seguida, organize a política do PAM para sshd (geralmente /etc/pam.d/sshd) para usar um módulo PAM que será ativado para o usuário, por exemplo, pam_krb5.
Tags ssh authentication linux