Creazione dell'autenticazione SSH specifica della porta per lo stesso utente

1

Ho un server Linux che esegue SSHD e vorrei sapere se è possibile configurarlo, in modo tale che dall'interno della LAN sia necessaria solo una chiave RSA per autenticare (sulla porta X), ma dall'esterno della LAN l'utente è necessario autenticarsi con una chiave RSA e una password OTP generata da un modulo PAM (tramite la porta Y)?

Ho provato a configurare / etc / ssh / sshd_config con la condizione di corrispondenza:

match user XX
   LocalPort 22
   PasswordAuthentication no
   RSAAuthentication yes

match user XX
   LocalPort 12345
   PasswordAuthentication yes
   RSAAuthentication no

Mi dà l'errore: bad parameter che implica che questo comando non è supportato, anche se nel manuale sshd_config dice che lo è.

In sintesi, la mia domanda è: è possibile avere diversi metodi di autenticazione per lo stesso utente a seconda della porta su cui SSH è inserito?

    
posta Brill 12.05.2014 - 14:53
fonte

3 risposte

2

Potresti eseguire due daemon ssh in ascolto su porte separate utilizzando due file sshd_config e l'opzione -f di sshd . Un file di configurazione includerebbe il modulo OTP / pam mentre l'altro consentirebbe solo l'autenticazione basata su chiave ..

Entrambi avrebbero quindi autenticato l'utente contro la propria chiave privata indipendentemente.

Una parola di cautela: dovrai tenere traccia manualmente degli aggiornamenti del demone SSH, poiché è probabile che il tuo sistema aggiorni solo un file di configurazione e non l'altro.

    
risposta data 12.05.2014 - 15:07
fonte
1

In effetti l'espressione della corrispondenza deve essere sulla stessa prima riga. Quindi questo dovrebbe funzionare come previsto in /etc/ssh/sshd_config :

Match User XX LocalPort 22
   PasswordAuthentication no
   RSAAuthentication yes

Match User XX LocalPort 12345
   PasswordAuthentication yes
   RSAAuthentication no

Attenti che il blocco Match termini con la fine del file di configurazione o un'altra direttiva Match . L'indentazione è lì solo per la bellezza. Di conseguenza, NON aggiungere alcune righe Match nel mezzo del file di configurazione esistente. Quindi metti semplicemente i tuoi blocchi Match alla fine del file.

    
risposta data 03.04.2017 - 16:36
fonte
-1

Ecco un link a un post per una situazione simile: link . Due configurazioni sshd, una di trasmissione all'altra, una con chiavi, l'altra una OTP. Non proprio quello che vuoi, ma potrebbe aiutarti.

    
risposta data 27.05.2014 - 15:48
fonte

Leggi altre domande sui tag