SSHD 对本地主机连接应用不同的 PAM 规则

SSHD 对本地主机连接应用不同的 PAM 规则

我正在尝试通过 SSH 实现 Yubikey 身份验证。我已按如下方式编辑了 /etc/pam.d/sshd 文件,似乎可以正常工作本地连接时ssh user@localhost):

#%PAM-1.0
auth       required pam_yubico.so id=20682 authfile=/etc/yubikey_mappings debug trace
auth       required pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin

但是,当我尝试从远程计算机连接时,它不会提示我输入密钥。可能是什么问题?

答案1

一般逻辑是,启用 PAM 的处理 shell 登录的程序将按顺序命中authaccountsession堆栈,但如果程序使用自己的实现处理其中一个或多个函数,则可以简单地跳过其中任何一个。

sshd支持一些无法委托给 PAM 的身份验证模式,因为它们依赖于不属于密码或质询-响应协商范围的方法。这些通常基于密钥或票证:ssh 密钥、GSSAPI/krb5 等。

相关内容