Điểm:0

Sử dụng ssh với sssd cho mật khẩu hoặc khóa công khai và mở rộng với hỗ trợ MFA thông qua PAM

lá cờ si

Vì vậy, sau một số thử nghiệm và thảo luận rộng rãi, tôi không còn có thể tự mình giải quyết vấn đề này nữa.

Mục tiêu: Xác thực qua ssh bằng khóa công khai hoặc mật khẩu và sử dụng PAM cho MFA.

Hệ thống được sử dụng là Ubuntu Server 20.04

Việc chia nhỏ phần này thành các phần có thể quản lý cũng cho thấy một số khó khăn khi kết hợp các phần khác nhau.

Xác thực bằng khóa công khai và sử dụng PAM cho MFA không phải là vấn đề. Xác thực bằng mật khẩu và sử dụng PAM cho MFA không phải là vấn đề. Sử dụng khóa công khai hoặc mật khẩu hơi khác một chút. Kết hợp với MFA dường như là điều không thể.

Vấn đề dường như nằm ở cách SSHD xác thực người dùng bằng mật khẩu.SSHD không thể thực hiện việc này nếu không có PAM, vì tệp bóng của người dùng không thể đọc được nếu không có PAM. Kích hoạt PAM và kích hoạt pam_env.so và pam_sssd.so cho ngăn xếp xác thực sẽ giải quyết vấn đề này.

Vì vậy, sử dụng PAM, tôi có thể xác thực bằng khóa công khai hoặc mật khẩu. Điều tôi không hiểu là tại sao SSHD cần tệp bóng người dùng để xác thực mật khẩu chứ không phải cho khóa công khai? Tôi vẫn nhận được các nhóm của mình và mọi thứ bằng cách sử dụng khóa công khai, không có PAM và sử dụng SSSD để cung cấp khóa chung bằng lệnh ủy quyền.

Để xác thực bằng mật khẩu, tôi cần mô-đun pam tương ứng trong ngăn xếp xác thực.

Đây không phải là vấn đề lớn, nhưng mục tiêu là kích hoạt MFA và không nhắc người dùng nhập mật khẩu trừ khi cần thiết. MFA cần được triển khai bằng cách sử dụng PAM. Sử dụng PAM cùng với các khóa chung không phải là vấn đề, việc đặt phương thức "khóa công khai, tương tác với bàn phím" trong sshd_config sẽ chuyển điều này tới PAM và đặt mô-đun PAM sau pam_env.so cho MFA cho phép điều này.

Nhưng việc kích hoạt các phương thức "mật khẩu, tương tác bàn phím" yêu cầu mô-đun pam_sss.so, vì vậy tôi sẽ được nhắc nhập mật khẩu ngay cả khi tôi sử dụng phương thức khóa công khai, sau đó được nhắc nhập MFA.

Làm cách nào để điều hướng vấn đề này để tôi có thể xác thực qua ssh bằng mật khẩu từ sssd hoặc khóa công khai từ sssd? Và bước tiếp theo, PAM có phải là một yêu cầu hay không đối với mật khẩu (tốt nhất là không), dù sao đi nữa, làm thế nào để triển khai MFA?

Vì điều này vẫn còn quanh quẩn trong đầu tôi, tôi chắc chắn rằng mình có thể giải thích mọi thứ tốt hơn nhưng đã cố gắng hết sức để giải thích những khó khăn của mình.

Những thứ tôi đã đọc là sssd, pam_ssh, pam_sssd, pam_ssh_agent_auth, sshd. Ngoài ra, hãy đọc qua tài liệu về DUO, Google MFA, RedHat.

Bất kỳ suy nghĩ hoặc ý tưởng?

Bất kì phản hồi nào cũng sẽ được đánh giá cao.

Cảm ơn!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.