4 231
modifications
« Authentification SSH multi-facteur avec YubiKey et clés publique SSH » : différence entre les versions
Aller à la navigation
Aller à la recherche
Authentification SSH multi-facteur avec YubiKey et clés publique SSH (voir la source)
Version du 10 octobre 2020 à 13:26
, 10 octobre 2020→Authentification par clé privé+password OU clé privé+OTP (méthode 2)
| Ligne 76 : | Ligne 76 : | ||
@include common-auth | @include common-auth | ||
</pre> | </pre> | ||
Pour des raisons de sécurité, empêchez other de lire la clé yubico : | |||
<pre>chmod o-r /etc/pam.d/sshd</pre> | |||
Ajoutez la ligne suivante dans <code>/etc/ssh/sshd_config</code> : | |||
<pre> | |||
ChallengeResponseAuthentication yes | |||
AuthenticationMethods publickey,keyboard-interactive | |||
</pre> | |||
Et relancez le serveur OpenSSH : | |||
<pre>/etc/init.d/ssh restart</pre> | |||
Les utilisateurs seront désormais obligé de s'authentifier par une '''clé privée ET un mot de passe'''. | |||
Ce mot de passe dépend de votre configuration PAM. Si vous avec juste suivi cette documentation, les utilisateurs pourront se loguer soit avec leur (clé privé + mot de passe unix), soit avec leur (clé privé + OTP yubikey). | |||
Vous pouvez désactiver le login par mot de passe pour un utilisateur spécifique en désactivant son mot-de-passe unix (passwd -d <user>). | |||
Voici comment cela va se présenter lors d'une tentative de connexion : | |||
<pre> | |||
pfoo@laptop:~$ ssh pfoo@domain.tld | |||
Enter passphrase for key '/home/pfoo/.ssh/id_ed25519': | |||
YubiKey for `pfoo': | |||
</pre> | |||
Pour vous connecter avec le mot-de-passe, tappez "enter" a prompt <code>YubiKey</code>, puis vous sera présenté un champ <code>Password</code> | |||
=Authentification par clé privé + OTP (pas de password)= | =Authentification par clé privé + OTP (pas de password)= | ||