我已经安装了 pam radius rpm 包,并成功配置了 /etc/pam.d/sshd、/etc/ssh/sshd_config 和 /etc/pam_radius.conf。我知道它正在运行,因为我输入密码后,我的手持设备收到了推送通知。当我批准推送通知时,我就可以登录了。我担心的是,如果我不通过带外通知响应,为什么没有提示我输入验证码。更奇怪的是,在我们的基于 debian 的系统(Ubuntu)上,它可以按预期运行。似乎只有基于 redhat 的系统才有这个问题。
当前行为: 我只能通过带外响应来确认 2FA 身份验证。如果我未能响应,系统将再次提示我输入密码,而不是验证码。
预期行为: 如果我无法响应带外通知(即手机处于飞行模式),ssh 应该进行故障转移并提示输入“验证码”
提前致谢。
/etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes
sshd 配置文件
#%PAM-1.0
auth sufficient pam_radius_auth.so
日志文件 /var/log/secure
Jan 12 17:26:51 mddirector sshd[9242]: pam_radius_auth: Got user name username
Jan 12 17:26:54 mddirector sshd[9242]: pam_radius_auth: Sending RADIUS request code 1
Jan 12 17:26:54 mddirector sshd[9242]: pam_radius_auth: DEBUG: getservbyname(radius, udp) returned 411494816.
Jan 12 17:27:09 mddirector sshd[9242]: pam_radius_auth: RADIUS server 10.1.69.126 failed to respond
Jan 12 17:27:09 mddirector sshd[9242]: pam_radius_auth: All RADIUS servers failed to respond.
Jan 12 17:27:09 mddirector sshd[9242]: pam_radius_auth: authentication failed
Jan 12 17:27:09 mddirector unix_chkpwd[9303]: password check failed for user (username)
Jan 12 17:27:09 mddirector sshd[9242]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1 user=username
Jan 12 17:27:12 mddirector sshd[9240]: error: PAM: Authentication failure for username from ::1
Jan 12 17:27:12 mddirector sshd[9304]: pam_radius_auth: Got user name username
答案1
感谢大家的帮助 :)
我必须增加 pam_radius.conf 中的超时时间,将其从 15 更改为 30。