SSH-Beispiele, die für die Verify Zwei-Faktor-Authentifizierung verwenden IBM ( 2FA )

Online bearbeiten

Sie können die Zwei-Faktor-Authentifizierung nutzen IBM® Verify , um Ihre SSH-Authentifizierung zu verbessern.

2FA zu Linux® über SSH hinzufügen Verify

Nehmen wir als Beispiel die SSH-Authentifizierung unter RHEL 7 und fügen Verify wir „ 2FA “ hinzu, wobei der Verify Benutzer aus allen verfügbaren „ 2FAs “ wählen kann.
Diese Authentifizierung erfolgt zusätzlich zur lokalen UNIX™-Passwortanmeldung. Wählen Sie den Verify Benutzernamen, den Sie für die Anmeldung bei 2FA verwenden möchten, z. B. user@us.ibm.com. Subskribieren Sie den Benutzer für die erforderliche 2FA zu Testzwecken.
Hinweis: Der Anmeldeprozess wird in diesem Dokument nicht behandelt.
  1. Die SSH-Authentifizierung wird mithilfe der Datei /etc/pam.d/sshd gesteuert. /etc/pam.d/password-authEs verwendet eine gemeinsame Include-Datei für die Authentifizierung.
    • Um eine Störung aller Prozesse, die die allgemeine Include-Datei verwenden, zu verhindern, erstellen Sie für die problemlose Änderung eine Kopie von /etc/pam.d/passsword-auth mit dem Namen /etc/pam.d/civ-password-auth.
    • civ-password-authBearbeiten /etc/pam.d/sshd Sie die Datei so, dass die kopierte Datei einbezogen wird, anstatt password-auth.
    • Bearbeiten Sie civ-password-auth und ändern Sie die folgende Zeile. Ändern
      auth        sufficient    pam_unix.so nullok try_first_pass
      in
      
auth        requisite     pam_unix.so nullok try_first_pass
auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp
  2. Stellen Sie sicher, dass /etc/pam_ibm_auth.json korrekt eingerichtet ist, um mit dem Verify Server zu kommunizieren.
  3. Bearbeiten Sie /etc/ssh/sshd_config. Stellen Sie sicher, dass “UsePAM yes” gesetzt ist, und setzen “ChallengeResponseAuthentication yes” Sie, um die Interaktion des Benutzers über die 2FA mit dem Verify PAM-Modul zu ermöglichen.
  4. Wählen Sie einen UNIX-Benutzer aus, um SSH zu testen, und ändern Sie dessen GECOS-Wert in Ihren Verify Benutzernamen. Siehe usermod oder chin.
  5. Starten Sie sshd erneut, um sicherzustellen, dass die aktualisierten Konfigurationsoptionen verwendet werden.
  6. Führen Sie SSH für den Testbenutzer aus, damit die Zwei-Faktor-Authentifizierung (2FA) wirksam wird.

Fügen Sie der SSH-Anmeldung bei AIX® eine zentralisierte Passwort- und 2FA -Authentifizierung hinzu.

Der Betriebssystembenutzer „pamuser “ wird zur Authentifizierung dem Verify Cloud-Directory-Benutzer „isvuser“ zugeordnet. Der Verify Benutzer muss über entsprechend konfigurierte „ 2FA “-Methoden verfügen. Nachdem die folgenden Einstellungen vorgenommen wurden, werden der Benutzername „pamuser“ und das Passwort „isvuser“ sowie die IP-Adresse „ 2FA “ verwendet, um per SSH eine Verbindung zum Host herzustellen. Das Benutzerpasswort des Betriebssystems wird für SSH-Anmeldungen nicht mehr verwendet.

Hinweis: Wenn Sie diese Option einrichten und testen, stellen Sie sicher, dass Sie über eine alternative Methode zur Anmeldung beim Host „ AIX “ verfügen, da eine fehlerhafte Konfiguration die SSH-Anmeldung unterbrechen kann. Zu Wiederherstellungszwecken können Sie beim Neustart des sshd -Servers auch eine bestehende SSH-Sitzung aufrechterhalten.
Die folgenden Dateien müssen geändert werden.
  1. Bearbeiten Sie die Datei /etc/passwd (oder verwenden Sie chfn ) und legen Sie den GECOS-Wert für die Zuordnung von OS-Benutzern zu Verify Benutzern auf allen Konten fest, die SSH verwenden sollen:
    Von
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    An
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. Bearbeiten /etc/pam_ibm_auth.json Sie die Datei, um sicherzustellen, dass für die Zuordnung von Betriebssystembenutzern zu Verify Benutzern das richtige GECOS-Wertlayout konfiguriert ist:
    "pam-ibm-auth": {
	"additional-args": [
		...
		“auth_method=password-then-choice-then-otp”,
		"gecos_field=2”,
		“gecos_separator=,”,
		...
	]
 }
  3. Bearbeiten Sie die /etc/pam.conf Datei und fügen Sie die folgenden Zeilen hinzu.
    # Authentication
sshd    auth    required        pam_ibm_auth

# Account Management
sshd    account required        pam_aix

# Password Management
sshd    password  required      pam_aix

# Session Management
sshd    session required        pam_aix
  4. Bearbeiten Sie die Datei /etc/ssh/sshd_config und stellen Sie sicher, dass diese Zeilen mit den angegebenen Werten vorhanden sind; falls nicht, fügen Sie sie hinzu.
    ChallengeResponseAuthentication yes
UsePAM yes
  5. Bearbeiten /etc/security/login.cfg Sie die folgende Zeile und ändern Sie sie.
    Von
    auth_type = STD_AUTH
    An
    auth_type = PAM_AUTH
  6. pam_ibm_auth moduleOptional: Bearbeiten Sie die Datei /etc/syslog.conf und fügen Sie die folgende Anweisung hinzu, um alle Informationen und diese Änderungen der /var/log/messages Datei zuzuordnen, in der die vom System protokollierten Fehler aufgezeichnet werden.
    *.info /var/log/messages rotate size 1m files 8 compress
  7. Optional: Starten Sie syslogd neu, damit die Änderungen übernommen werden.
    # stopsrc -s syslogd; startsrc -s syslogd
  8. Starten Sie sshd neu, damit die Änderungen übernommen werden
    # stopsrc -s sshd; startsrc -s sshd