Exemples SSH utilisant IBM Verify pour l'authentification à deux facteurs ( 2FA )

Vous pouvez utiliser IBM® Verify les fonctionnalités d'authentification à deux facteurs pour renforcer votre authentification SSH.

Ajouter Verify2FA à la liste des adresses SSH de Linux®

Prenons par exemple l'authentification SSH sous RHEL 7 et ajoutons l'adresse Verify2FA à la liste de toutes les adresses 2FAs accessibles à l'utilisateur Verify .
Cette authentification s'ajoute à la connexion par mot de passe UNIX™ locale. Choisissez le Verify nom d'utilisateur que vous souhaitez utiliser pour vous connecter à 2FA, par exemple user@us.ibm.com. Abonnez l'utilisateur à l'authentification à deux facteurs requise pour un test.
Remarque : la procédure d'abonnement n'est pas traitée dans le présent document.
  1. Le fichier /etc/pam.d/sshd contrôle l'authentification SSH. /etc/pam.d/password-authIl utilise un fichier d'inclusion commun pour l'authentification.
    • Pour éviter de perturber tous les processus qui utilisent le fichier include commun, effectuez une copie du fichier /etc/pam.d/passsword-auth dans /etc/pam.d/civ-password-auth afin de pouvoir le modifier en toute sécurité.
    • civ-password-authModifier /etc/pam.d/sshd pour inclure le fichier copié, au lieu de password-auth.
    • Editez civ-password-auth et changez la ligne ci-dessous. Changer
      auth        sufficient    pam_unix.so nullok try_first_pass
      à
      
      auth        requisite     pam_unix.so nullok try_first_pass
      auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp 
  2. Assurez-vous que /etc/pam_ibm_auth.json est correctement configuré pour communiquer avec le Verify serveur.
  3. Editez /etc/ssh/sshd_config. Assurez-vous que “UsePAM yes” est activé et configurez “ChallengeResponseAuthentication yes” pour permettre à l'utilisateur d'interagir par 2FA s avec le Verify module PAM.
  4. Sélectionnez un utilisateur UNIX pour tester SSH et remplacez sa valeur GECOS par votre Verify nom d'utilisateur. Voir usermod ou chin.
  5. Redémarrez sshd pour vous assurer qu'il utilise les options de configuration mises à jour.
  6. Etablissez une connexion SSH à l'utilisateur test pour constater l'application de l'authentification à deux facteurs.

Ajouter une authentification centralisée par mot de passe et par « 2FA » à la connexion SSH à AIX®.

L'utilisateur du système d'exploitation, pamuser, est associé à Verify l'utilisateur du répertoire Cloud du tenant, isvuser, à des fins d'authentification. L'utilisateur Verify doit avoir configuré les méthodes d' 2FA s appropriées. Une fois la configuration suivante effectuée, on utilise le nom d'utilisateur « pamuser » et le mot de passe « isvuser » ainsi que l'adresse 2FA pour se connecter à l'hôte via SSH. Le mot de passe utilisateur du système d'exploitation n'est plus utilisé pour les connexions SSH.

Remarque : lorsque vous configurez et testez cette option, assurez-vous de disposer d'une autre méthode pour vous connecter à l'hôte AIX, car une mauvaise configuration pourrait empêcher la connexion via SSH. Vous pouvez également conserver une session SSH en cours lors du redémarrage du serveur sshd à des fins de récupération.
Les fichiers suivants doivent être modifiés.
  1. Modifiez le /etc/passwd fichier (ou utilisez chfn ) et définissez la valeur GECOS permettant de faire correspondre l'utilisateur du système d'exploitation à Verify l'utilisateur sur tous les comptes qui utiliseront SSH :
    De
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    A
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. Modifiez /etc/pam_ibm_auth.json pour vous assurer que la structure de valeurs GECOS appropriée est configurée pour la mise en correspondance entre Verify les utilisateurs du système d'exploitation :
    "pam-ibm-auth": {
    	"additional-args": [
    		...
    		“auth_method=password-then-choice-then-otp”,
    		"gecos_field=2”,
    		“gecos_separator=,”,
    		...
    	]
     }
    
    
  3. Modifiez le /etc/pam.conf fichier et ajoutez les lignes suivantes.
    # Authentication
    sshd    auth    required        pam_ibm_auth
    
    # Account Management
    sshd    account required        pam_aix
    
    # Password Management
    sshd    password  required      pam_aix
    
    # Session Management
    sshd    session required        pam_aix
    
  4. Modifiez /etc/ssh/sshd_config le fichier et assurez-vous que ces lignes y figurent avec les valeurs indiquées; si ce n'est pas le cas, ajoutez-les.
    ChallengeResponseAuthentication yes
    UsePAM yes
    
  5. /etc/security/login.cfg Modifiez la ligne suivante.
    De
    auth_type = STD_AUTH
    A
    auth_type = PAM_AUTH
  6. Facultatif : modifiez /etc/syslog.conf le /var/log/messages fichier et ajoutez l'instruction suivante pour enregistrer toutes les informations et ces modifications dans le fichier afin de consigner les erreurs consignées par le pam_ibm_auth module.
    *.info /var/log/messages rotate size 1m files 8 compress
  7. Facultatif : redémarrez syslogd pour que les modifications prennent effet.
    # stopsrc -s syslogd; startsrc -s syslogd
  8. Redémarrez sshd pour que les modifications prennent effet
    # stopsrc -s sshd; startsrc -s sshd