2 要素認証 (2FA) に IBM Verify を使用する SSH の例

オンラインで編集

IBM® Verify2要素認証機能を使って、SSH認証を強化することができます。

Linux®のSSHに「Verify 2FAを追加する

例えば、RHEL 7 での SSH 認証を例に挙げ、 Verify ユーザーが使用可能なすべての 2FAs を選択して、 Verify 2FA を追加します。
この認証は、ローカルUNIX™パスワードログインに加えて行われます。 2FAログインに使用する「Verifyユーザー名を「user@us.ibm.comように選択する。 テスト用にそのユーザーを必要な 2FA にサブスクライブします。
注: サブスクリプション・プロセスは、この文書の範囲外です。
  1. ファイル /etc/pam.d/sshd で SSH 認証が制御されます。 これは、認証「/etc/pam.d/password-auth用の共通インクルードファイルを使用する。
    • その共通インクルード・ファイルを使用するすべてのプロセスで支障が出ないように、/etc/pam.d/passsword-auth/etc/pam.d/civ-password-auth にコピーして、安全に変更できるようにします。
    • /etc/pam.d/sshd編集して、コピーしたファイル 'civ-password-auth を 'password-auth の代わりにインクルードする。
    • civ-password-auth を編集して、以下の行を変更します。 変更
      auth        sufficient    pam_unix.so nullok try_first_pass
      から
      
auth        requisite     pam_unix.so nullok try_first_pass
auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp
  2. Verify サーバーと通信するように/etc/pam_ibm_auth.json が正しくセットアップされていることを確認します。
  3. /etc/ssh/sshd_config を編集します。 “UsePAM yes” が設定され、 Verify PAM モジュールとのユーザー 2FA 対話を許可するように “ChallengeResponseAuthentication yes” が設定されていることを確認します。
  4. SSH をテストする UNIX ユーザーを選択し、その GECOS 値を Verify ユーザー名に編集します。 usermod または chinを参照してください。
  5. sshd を再始動し、更新された構成オプションが確実に使用されるようにします。
  6. テスト・ユーザーに SSH 接続し、2FA の実施を確認します。

SSHログイン AIX® に集中管理型パスワードと 2FA 認証を追加する。

OSユーザーのpamuserは、認証のために'VerifyテナントCloud Directoryユーザーのisvuserにマッピングされる。 Verifyユーザは、関連する2FAメソッドを設定していなければならない。 以下がセットアップされた後、ユーザーpamuser名とisvuserパスワード+2FAを使用してホストにSSH接続する。 OSのユーザーパスワードはSSHログインに使用されなくなった。

注: このオプションを設定およびテストする際は、設定ミスによりSSHログインが機能しなくなる可能性があるため、ホスト AIX への代替ログイン方法を確保してください。 また、sshdサーバーを再起動する際、リカバリ目的で既存の ssh ログインを保持することもできます。
以下のファイルを修正する必要がある。
  1. /etc/passwd編集し(またはchfnを使用し)、sshを使用するすべてのアカウントで、OSユーザーを「VerifyユーザーにマッピングするためのGECOS値を設定する:
    送信元
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    次まで:
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. /etc/pam_ibm_auth.json編集して、OSユーザーと「Verifyユーザーのマッピングに正しいGECOS値レイアウトが構成されていることを確認する:
    "pam-ibm-auth": {
	"additional-args": [
		...
		“auth_method=password-then-choice-then-otp”,
		"gecos_field=2”,
		“gecos_separator=,”,
		...
	]
 }
  3. /etc/pam.confファイルを編集し、以下の行を追加する。
    # Authentication
sshd    auth    required        pam_ibm_auth

# Account Management
sshd    account required        pam_aix

# Password Management
sshd    password  required      pam_aix

# Session Management
sshd    session required        pam_aix
  4. /etc/ssh/sshd_config編集し、これらの行が指定された値で存在することを確認し、存在しない場合は追加する。
    ChallengeResponseAuthentication yes
UsePAM yes
  5. /etc/security/login.cfg編集し、以下の行を変更する。
    送信元
    auth_type = STD_AUTH
    次まで:
    auth_type = PAM_AUTH
  6. オプション: /etc/syslog.conf編集し、すべての情報とこれらの変更を'/var/log/messagesファイルにマップし、'pam_ibm_auth moduleから記録されたエラーを記録するために、以下のステートメントを追加する。
    *.info /var/log/messages rotate size 1m files 8 compress
  7. オプション: 変更を取り込むためにsyslogdを再起動する。
    # stopsrc -s syslogd; startsrc -s syslogd
  8. sshdを再起動して変更を取り込む
    # stopsrc -s sshd; startsrc -s sshd