我使用 Yubikey 的 PAM 模块作为服务器上的额外身份验证层。
当设备尝试使用特定 SSH 证书进行身份验证时,我想跳过此身份验证模块。
我知道可以使用某些 IP/子网来执行此操作access.conf- 是否可以通过 SSH 证书过滤访问?
理想情况下,一个证书将跳过额外的身份验证模块,而所有其他证书将执行完整的身份验证。
答案1
您可能想查看 sshd_config 指令匹配。
你可以尝试写这样的东西(未经测试):
Match User certsysuser1
AuthenticationMethods publickey
UsePAM no
在此示例中certsysuser1是 OpenSSH 证书中的主体名称(vulgo 用户名)。