二要素認証( 2FA )に Verify を使用 IBM するSSHの例

オンラインで編集

SSH認証を強化するために、二要素認証機能を利用 IBM® Verify できます。

SSHの Linux® に 2FA を追加する Verify

例として、RHEL 7 での SSH 認証を取り上げ、ユーザーが Verify 利用可能なすべての ` 2FAs ` の中から ` 2FA ` を追加 Verify します。
この認証は、ローカルのUNIX™パスワードによるログインに加えて行われます。 user@us.ibm.com2FA へのログインに使用するユーザー名を選択してください Verify (例:)。 テスト用にそのユーザーを必要な 2FA にサブスクライブします。
注: サブスクリプションの手順については、本ドキュメントの対象外です。
  1. ファイル /etc/pam.d/sshd で SSH 認証が制御されます。 /etc/pam.d/password-auth認証には共通のインクルードファイルを使用しています。
    • その共通インクルード・ファイルを使用するすべてのプロセスで支障が出ないように、/etc/pam.d/passsword-auth/etc/pam.d/civ-password-auth にコピーして、安全に変更できるようにします。
    • password-authciv-password-auth編集 /etc/pam.d/sshd して、. の代わりにコピーしたファイルを含める。
    • civ-password-auth を編集して、以下の行を変更します。 変更
      auth        sufficient    pam_unix.so nullok try_first_pass
      から
      
auth        requisite     pam_unix.so nullok try_first_pass
auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp
  2. サーバー Verify と通信できるよう、/etc/pam_ibm_auth.json が正しく設定されていることを確認してください。
  3. /etc/ssh/sshd_config を編集します。 が設定されていることを “UsePAM yes” 確認し、ユーザーが 2FA 経由でPAMモジュール Verify とやり取りできるようにを設定 “ChallengeResponseAuthentication yes” してください。
  4. SSHのテストを行うUNIXユーザーを選択し、そのGECOS値を自分の Verify ユーザー名に変更してください。 chinまたは をご覧ください usermod
  5. sshd を再始動し、更新された構成オプションが確実に使用されるようにします。
  6. テスト・ユーザーに SSH 接続し、2FA の実施を確認します。

AIX® のSSHログインに、一元管理されたパスワード認証および 2FA 認証を追加します。

OSユーザー「 pamuser 」は、認証のためにテナントのCloud Directoryユーザー「 isvuser 」に Verify マッピングされています。 ユーザーは Verify 、関連する 2FA メソッドを設定しておく必要があります。 以下の設定が完了した後、ユーザー名「 pamuser 」とパスワード「 isvuser 」、および 2FA を使用して、ホストにSSH接続を行います。 SSHログインにおいて、OSのユーザーパスワードは使用されなくなりました。

注: このオプションを設定およびテストする際は、設定ミスによってSSHログインが機能しなくなる可能性があるため、 AIX ホストにログインするための代替手段を確保しておいてください。 復旧のために sshd サーバーを再起動する際も、既存のSSHログインを維持することができます。
以下のファイルを変更する必要があります。
  1. Edit /etc/passwd (または chfn を使用)し、SSH を使用するすべてのアカウントにおいて、OS ユーザー Verify を GECOS 値にマッピングするように設定します:
    送信元
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    次まで:
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. OSユーザーと Verify ユーザーのマッピングに対して、正しいGECOS値のレイアウトが設定されていることを確認するために編集 /etc/pam_ibm_auth.json してください:
    "pam-ibm-auth": {
	"additional-args": [
		...
		“auth_method=password-then-choice-then-otp”,
		"gecos_field=2”,
		“gecos_separator=,”,
		...
	]
 }
  3. ファイル /etc/pam.conf を開き、以下の行を追加してください。
    # Authentication
sshd    auth    required        pam_ibm_auth

# Account Management
sshd    account required        pam_aix

# Password Management
sshd    password  required      pam_aix

# Session Management
sshd    session required        pam_aix
  4. 編集 /etc/ssh/sshd_config し、これらの行が指定された値とともに存在することを確認してください。存在しない場合は追加してください。
    ChallengeResponseAuthentication yes
UsePAM yes
  5. 編集 /etc/security/login.cfg して、次の行を変更してください。
    送信元
    auth_type = STD_AUTH
    次まで:
    auth_type = PAM_AUTH
  6. pam_ibm_auth module(任意): 編集 /etc/syslog.conf し、以下のステートメントを追加して、すべての情報とこれらの変更をファイル /var/log/messages にマッピングし、から記録されたエラーを保存します。
    *.info /var/log/messages rotate size 1m files 8 compress
  7. (任意): 変更を反映させるために syslogd を再起動してください。
    # stopsrc -s syslogd; startsrc -s syslogd
  8. 変更を反映させるためにsshdを再起動してください
    # stopsrc -s sshd; startsrc -s sshd