Creazione di metodi di autenticazione specifici dell'utente in SSH

26
  1. Ho configurato sshd su un server Ubuntu per usare l'autenticazione della chiave e sta funzionando bene.
  2. Ho dovuto disabilitare l'autenticazione della password perché l'autenticazione della chiave funzionasse.
  3. Il server è sempre accessibile tramite terminali remoti o mastice.

Ora tutti gli account utente sono in grado di accedere con la chiave di autenticazione e la passphrase. Ma ora voglio creare solo un nuovo utente senza autenticazione con chiave. Quindi, come dovrei fare questo in modo tale da non ostacolare gli altri utenti che stanno usando l'autenticazione della chiave.

    
posta Hrish 02.08.2012 - 12:56
fonte

2 risposte

53

Puoi utilizzare Match in sshd_config per selezionare i singoli utenti modificare la direttiva PasswordAuthentication per. Inserisci queste regole Match al basso di sshd_config file (generalmente /etc/ssh/sshd_config )

Match User root,foo,bar
    PasswordAuthentication no
Match User Rishee
    PasswordAuthentication yes

Ciò consentirebbe l'autenticazione delle chiavi root, foo e bar e l'autenticazione Rishee password.

Un'alternativa è la corrispondenza per negazione, come questa:

PasswordAuthentication no
Match User *,!root
    PasswordAuthentication yes

In questo caso, tutti tranne root ottengono l'autenticazione della password.

Nota: la sintassi *, è necessaria, poiché la sintassi dei caratteri jolly e della negazione viene analizzata solo negli elenchi separati da virgole.

Puoi anche abbinare per gruppo:

Match Group usergroup
    PasswordAuthentication no

Motivo per inserire Match nella parte inferiore del file:

If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another >Match line or the end of the file

    
risposta data 02.08.2012 - 13:04
fonte
3

Puoi abilitare la password e l'autenticazione della chiave contemporaneamente, non sono esclusivi.

    
risposta data 02.08.2012 - 13:02
fonte

Leggi altre domande sui tag