使用 ssh 配置 pam 以进行双因素身份验证

使用 ssh 配置 pam 以进行双因素身份验证

我正在尝试使用自定义 radius 服务器配置 ssh 进行身份验证。

所以我想要的是,首先它应该使用当前 ssh 登录(unix 登录)进行身份验证,然后提示用户输入 radius 的第二个密码。

我正在设置 /etc/pam.d/sshd 如下

auth        required    pam_unix.so debug

**auth       sufficient   /lib/security/pam_radius_auth.so  debug conf=/home/pam_radius try_first_pass**

但是我的第一次身份验证根本没有发生。它立即进入 radius。

按照 pam_radius ..try_first_pass

....如果没有以前的密码,或者以前的密码验证失败,则提示用户“输入 RADIUS 密码:”,并要求输入另一个密码。尝试此密码,并根据需要返回成功/失败。

答案1

我无法回复其他答案的评论,但是您是否尝试过将两auth行都设置为,required而不是将半径设置为sufficient

答案2

我认为您的 ssh 登录失败,然后直接进入 radius 身份验证。当您输入 radius 密码时会发生什么?当我的猜测正确时,您的身份验证应该会失败,无论您为 radius 身份验证输入的密码是否正确或错误。

为了进一步调试该问题,请发布您的调试输出。

您应该禁用 radius 身份验证以确保您的 ssh 身份验证正常工作。

相关内容