Exemples SSH utilisant IBM Verify pour l'authentification à deux facteurs ( 2FA )
Vous pouvez utiliser IBM® Verify les fonctionnalités d'authentification à deux facteurs pour renforcer votre authentification SSH.
Ajouter Verify2FA à la liste des adresses SSH de Linux®
Prenons par exemple l'authentification SSH sous RHEL 7 et ajoutons l'adresse Verify2FA à la liste de toutes les adresses 2FAs accessibles à l'utilisateur Verify .Cette authentification s'ajoute à la connexion par mot de passe UNIX™ locale. Choisissez le Verify nom d'utilisateur que vous souhaitez utiliser pour vous connecter à 2FA, par exemple user@us.ibm.com. Abonnez
l'utilisateur à l'authentification à deux facteurs requise pour un test.
Remarque : la procédure d'abonnement n'est pas traitée dans le présent document.
- Le fichier /etc/pam.d/sshd contrôle l'authentification SSH. /etc/pam.d/password-authIl utilise un fichier d'inclusion commun pour l'authentification.
- Pour éviter de perturber tous les processus qui utilisent le fichier include commun, effectuez une copie du fichier /etc/pam.d/passsword-auth dans /etc/pam.d/civ-password-auth afin de pouvoir le modifier en toute sécurité.
civ-password-authModifier /etc/pam.d/sshd pour inclure le fichier copié, au lieu depassword-auth.- Editez civ-password-auth et changez la ligne ci-dessous. Changer
àauth sufficient pam_unix.so nullok try_first_passauth requisite pam_unix.so nullok try_first_pass auth sufficient pam_ibm_auth.so auth_method=choice-then-otp
- Assurez-vous que /etc/pam_ibm_auth.json est correctement configuré pour communiquer avec le Verify serveur.
- Editez /etc/ssh/sshd_config. Assurez-vous que
“UsePAM yes”est activé et configurez“ChallengeResponseAuthentication yes”pour permettre à l'utilisateur d'interagir par 2FA s avec le Verify module PAM. - Sélectionnez un utilisateur UNIX pour tester SSH et remplacez sa valeur GECOS par votre Verify nom d'utilisateur. Voir
usermodouchin. - Redémarrez
sshdpour vous assurer qu'il utilise les options de configuration mises à jour. - Etablissez une connexion SSH à l'utilisateur test pour constater l'application de l'authentification à deux facteurs.
Ajouter une authentification centralisée par mot de passe et par « 2FA » à la connexion SSH à AIX®.
L'utilisateur du système d'exploitation, pamuser, est associé à Verify l'utilisateur du répertoire Cloud du tenant, isvuser, à des fins d'authentification. L'utilisateur Verify doit avoir configuré les méthodes d' 2FA s appropriées. Une fois la configuration suivante effectuée, on utilise le nom d'utilisateur « pamuser » et le mot de passe « isvuser » ainsi que l'adresse 2FA pour se connecter à l'hôte via SSH. Le mot de passe utilisateur du système d'exploitation n'est plus utilisé pour les connexions SSH.
Remarque : lorsque vous configurez et testez cette option, assurez-vous de disposer d'une autre méthode pour vous connecter à l'hôte AIX, car une mauvaise configuration pourrait empêcher la connexion via SSH. Vous pouvez également conserver une session SSH en cours lors du redémarrage du serveur sshd à des fins de récupération.
Les fichiers suivants doivent être modifiés.
- Modifiez le /etc/passwd fichier (ou utilisez chfn ) et définissez la valeur GECOS permettant de faire correspondre l'utilisateur du système d'exploitation à Verify l'utilisateur sur tous les comptes qui utiliseront SSH :
- De
pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash- A
pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
- Modifiez /etc/pam_ibm_auth.json pour vous assurer que la structure de valeurs GECOS appropriée est configurée pour la mise en correspondance entre Verify les utilisateurs du système d'exploitation :
"pam-ibm-auth": { "additional-args": [ ... “auth_method=password-then-choice-then-otp”, "gecos_field=2”, “gecos_separator=,”, ... ] } - Modifiez le /etc/pam.conf fichier et ajoutez les lignes suivantes.
# Authentication sshd auth required pam_ibm_auth # Account Management sshd account required pam_aix # Password Management sshd password required pam_aix # Session Management sshd session required pam_aix - Modifiez /etc/ssh/sshd_config le fichier et assurez-vous que ces lignes y figurent avec les valeurs indiquées; si ce n'est pas le cas, ajoutez-les.
ChallengeResponseAuthentication yes UsePAM yes - /etc/security/login.cfg Modifiez la ligne suivante.
- De
auth_type = STD_AUTH- A
auth_type = PAM_AUTH
- Facultatif : modifiez /etc/syslog.conf le /var/log/messages fichier et ajoutez l'instruction suivante pour enregistrer toutes les informations et ces modifications dans le fichier afin de consigner les erreurs consignées par le
pam_ibm_auth module.*.info /var/log/messages rotate size 1m files 8 compress - Facultatif : redémarrez syslogd pour que les modifications prennent effet.
# stopsrc -s syslogd; startsrc -s syslogd - Redémarrez sshd pour que les modifications prennent effet
# stopsrc -s sshd; startsrc -s sshd