SSHD aplicando regras PAM diferentes para conexões localhost

2

Estou tentando implementar a autenticação do Yubikey via SSH. Eu editei o meu arquivo /etc/pam.d/sshd da seguinte forma, e parece funcionar durante a conexão local ( ssh user@localhost ):

#%PAM-1.0
auth       required pam_yubico.so id=20682 authfile=/etc/yubikey_mappings debug trace
auth       required pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin

No entanto, quando tento conectar-me a partir de uma máquina remota, ela não solicita minha chave. Qual é o problema provável?

    
por Sudowned 29.04.2015 / 22:51

1 resposta

1

A lógica geral é que um programa habilitado para PAM que lida com logins de shell atingirá as pilhas auth , account e session em sequência, mas um programa pode simplesmente ignorar qualquer um deles se lidar com um ou mais dessas funções com suas próprias implementações.

sshd suporta alguns modos de autenticação que não podem ser delegados ao PAM, porque eles dependem de métodos que não se enquadram no escopo da negociação de senha ou resposta de desafio. Estes são tipicamente baseados em chaves ou tickets: chaves ssh, GSSAPI / krb5, etc.

    
por 30.04.2015 / 23:08

Tags