Exemplos de SSH que utilizam IBM Verify para autenticação de dois fatores ( 2FA )

Editar online

Você pode usar IBM® Verify os recursos de autenticação de dois fatores para reforçar sua autenticação SSH.

Adicionando Verify2FA ao SSH do Linux®

Por exemplo, considere a autenticação SSH no RHEL 7 e adicione Verify2FA à lista de endereços 2FAs disponíveis para o Verify usuário.
Essa autenticação é complementar ao login com senha local do UNIX™. Escolha o Verify nome de usuário que você deseja usar para fazer login no site 2FA, como por exemplo user@us.ibm.com. Assine o usuário para o 2FA necessário para teste.
Observação: O processo de assinatura está fora do escopo deste documento.
  1. O arquivo /etc/pam.d/sshd controla a autenticação de SSH. /etc/pam.d/password-authEle utiliza um arquivo de inclusão comum para a autenticação.
    • Para evitar perturbar todos os processos que usam o arquivo include comum, faça uma cópia de /etc/pam.d/passsword-auth para /etc/pam.d/civ-password-auth para que isso possa ser modificado com segurança.
    • civ-password-authEdite /etc/pam.d/sshd para incluir o arquivo copiado, em vez de password-auth.
    • Edite civ-password-auth e mude a linha a seguir. Alterar
      auth        sufficient    pam_unix.so nullok try_first_pass
      para
      
auth        requisite     pam_unix.so nullok try_first_pass
auth        sufficient    pam_ibm_auth.so auth_method=choice-then-otp
  2. Certifique-se de que o /etc/pam_ibm_auth.json esteja configurado corretamente para se comunicar com o Verify servidor.
  3. Edite /etc/ssh/sshd_config. Certifique-se de que “UsePAM yes” esteja definido e defina “ChallengeResponseAuthentication yes” para permitir a interação do usuário 2FA com o Verify módulo PAM.
  4. Selecione um usuário UNIX para testar o SSH e altere o valor GECOS dele para o seu Verify nome de usuário. Consulte usermod ou chin.
  5. Reinicie sshd para assegurar que ele use as opções de configuração atualizadas.
  6. SSH para o usuário de teste para ver o 2FA entrar em vigor.

Adicione autenticação centralizada por senha e pelo serviço " 2FA " ao login SSH do AIX®.

O usuário do sistema operacional, pamuser, é mapeado para Verify o usuário do Cloud Directory do locatário, isvuser, para fins de autenticação. O Verify usuário deve ter os métodos relevantes do ` 2FA ` configurados. Após a configuração a seguir, o nome de usuário pamuser e a senha isvuser + 2FA são usados para acessar o host via SSH. A senha de usuário do sistema operacional não é mais utilizada para logins via SSH.

Observação: Ao configurar e testar esta opção, certifique-se de ter um método alternativo para fazer login no host AIX, pois uma configuração incorreta pode impedir o login via SSH. Você também pode manter uma sessão SSH ativa ao reiniciar o servidor sshd para fins de recuperação.
Os seguintes arquivos precisam ser modificados.
  1. Edite /etc/passwd (ou use o chfn ) e defina o valor GECOS para mapear o usuário do sistema operacional para Verify o usuário em todas as contas que vão usar o ssh:
    De
    pamuser:x:1000:1000:Pam User:/home/pamuser:/bin/bash
    Para
    pamuser:x:1000:1000:Pam User,isvuser:/home/pamuser:/bin/bash
  2. Edite /etc/pam_ibm_auth.json para garantir que o layout correto do valor GECOS esteja configurado para o mapeamento entre Verify usuários do sistema operacional:
    "pam-ibm-auth": {
	"additional-args": [
		...
		“auth_method=password-then-choice-then-otp”,
		"gecos_field=2”,
		“gecos_separator=,”,
		...
	]
 }
  3. Edite o /etc/pam.conf arquivo e adicione as seguintes linhas.
    # Authentication
sshd    auth    required        pam_ibm_auth

# Account Management
sshd    account required        pam_aix

# Password Management
sshd    password  required      pam_aix

# Session Management
sshd    session required        pam_aix
  4. Edite /etc/ssh/sshd_config e verifique se essas linhas estão presentes com os valores especificados; caso contrário, adicione-as.
    ChallengeResponseAuthentication yes
UsePAM yes
  5. Edite /etc/security/login.cfg e altere a seguinte linha.
    De
    auth_type = STD_AUTH
    Para
    auth_type = PAM_AUTH
  6. Opcional: Edite /etc/syslog.conf e adicione a seguinte instrução para mapear todas as informações e essas alterações para o /var/log/messages arquivo destinado a registrar os erros registrados a partir do pam_ibm_auth module.
    *.info /var/log/messages rotate size 1m files 8 compress
  7. Opcional: Reinicie o syslogd para que as alterações sejam aplicadas.
    # stopsrc -s syslogd; startsrc -s syslogd
  8. Reinicie o sshd para que as alterações sejam aplicadas
    # stopsrc -s sshd; startsrc -s sshd