2단계 인증( 2FA )에 를 Verify 사용하는 IBM SSH 예시

온라인에서 편집하기

SSH 인증을 강화하기 위해 2단계 인증 IBM® Verify 기능을 사용할 수 있습니다.

Linux® 의 SSH에 2FA 추가하기 Verify

예를 들어, RHEL 7의 SSH 인증을 살펴보고, 사용자가 Verify 사용할 수 있는 모든 2FAs 중에서 Verify2FA 을 추가해 보겠습니다.
이 인증은 로컬 UNIX™ 비밀번호 로그인에 추가로 적용됩니다. 2FA 에 로그인할 때 사용할 사용자 이름을 Verify 선택하세요(예: user@us.ibm.com ). 테스트하기 위해 필요한 2FA에 사용자를 등록하십시오.
참고: 구독 절차는 본 문서의 범위에 포함되지 않습니다.
  1. /etc/pam.d/sshd 파일은 SSH 인증을 제어합니다. /etc/pam.d/password-auth인증에 공통 포함 파일을 사용합니다.
    • 공통 include 파일을 사용하는 모든 프로세스에 문제가 되지 않도록 /etc/pam.d/passsword-auth/etc/pam.d/civ-password-auth로 복사하여 안전하게 수정하십시오.
    • civ-password-auth복사한 파일을 포함하도록 수정하세요 /etc/pam.d/sshd . 대신 password-auth.
    • civ-password-auth를 편집하여 다음 행을 변경하십시오. 변경
      auth        sufficient    pam_unix.so nullok try_first_pass
      -
      
auth        requisite     pam_unix.so nullok try_first_pass
auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp
  2. 서버와 Verify 통신할 수 있도록 /가etc/pam_ibm_auth.json 올바르게 설정되어 있는지 확인하십시오.
  3. /etc/ssh/sshd_config를 편집하십시오. 가 “UsePAM yes” 설정되어 있는지 확인하고, 사용자가 2FA 를 통해 PAM 모듈과 Verify 상호작용할 수 있도록 설정하십시오 “ChallengeResponseAuthentication yes” .
  4. SSH 테스트를 위해 UNIX 사용자를 선택하고, 해당 사용자의 GECOS 값을 본인의 Verify 사용자 이름으로 수정하십시오. 자세히 보기 usermod 또는 chin.
  5. 업데이트된 구성 옵션을 사용하는지 확인하려면 sshd을 다시 시작하십시오.
  6. 테스트 사용자에 대한 SSH를 통해 2FA가 적용되는지 확인하십시오.

AIX® 의 SSH 로그인에 중앙 집중식 비밀번호 인증 및 2FA 인증을 추가합니다.

인증 목적으로 OS 사용자 pamuser 는 테넌트 Cloud Directory 사용자 isvuserVerify 매핑됩니다. 사용자는 Verify 관련 2FA 메서드를 설정해 두어야 합니다. 다음 설정이 완료되면, 사용자 이름 pamuser 와 비밀번호 isvuser, 그리고 2FA 을 사용하여 호스트에 SSH로 접속합니다. SSH 로그인 시 OS 사용자 비밀번호는 더 이상 사용되지 않습니다.

참고: 이 옵션을 설정하고 테스트할 때는, 설정 오류로 인해 SSH 로그인이 중단될 수 있으므로 AIX 호스트에 로그인할 수 있는 다른 방법을 반드시 확보해 두십시오. 복구 목적으로 sshd 서버를 재시작할 때 기존 SSH 로그인 세션을 유지할 수도 있습니다.
다음 파일들을 수정해야 합니다.
  1. Edit /etc/passwd (또는 chfn을 사용)을 실행하여 ssh를 사용할 모든 계정의 OS 사용자를 사용자 계정으로 Verify 매핑하는 GECOS 값을 설정하십시오:
    시작
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    대상
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. OS 사용자 대 Verify 사용자 매핑에 올바른 GECOS 값 레이아웃이 설정되었는지 확인하려면 다음을 수정하십시오 /etc/pam_ibm_auth.json :
    "pam-ibm-auth": {
	"additional-args": [
		...
		“auth_method=password-then-choice-then-otp”,
		"gecos_field=2”,
		“gecos_separator=,”,
		...
	]
 }
  3. 파일을 /etc/pam.conf 편집하고 다음 줄을 추가하십시오.
    # Authentication
sshd    auth    required        pam_ibm_auth

# Account Management
sshd    account required        pam_aix

# Password Management
sshd    password  required      pam_aix

# Session Management
sshd    session required        pam_aix
  4. 편집하여 /etc/ssh/sshd_config 해당 행들이 지정된 값과 함께 있는지 확인하고, 없다면 추가하십시오.
    ChallengeResponseAuthentication yes
UsePAM yes
  5. 다음 줄을 편집하여 /etc/security/login.cfg 수정하십시오.
    시작
    auth_type = STD_AUTH
    대상
    auth_type = PAM_AUTH
  6. pam_ibm_auth module선택 사항: 편집 /etc/syslog.conf 을 클릭하고 다음 문을 추가하여 모든 정보와 이러한 변경 사항을 /var/log/messages 파일에 매핑하여.에서 기록된 오류를 기록합니다.
    *.info /var/log/messages rotate size 1m files 8 compress
  7. 선택 사항: 변경 사항을 적용하려면 syslogd를 다시 시작하십시오.
    # stopsrc -s syslogd; startsrc -s syslogd
  8. 변경 사항을 적용하려면 sshd를 다시 시작하세요
    # stopsrc -s sshd; startsrc -s sshd