web-dev-qa-db-fra.com

Commande d'authentification avec ssh

Quand je me connecte via ssh avec -v Je vois que SSH est authentifiant la manière suivante

debug1: Authentications that can continue: publickey,gssapi-with-mic,password,hostbased

Je voudrais changer la commande ... une idée de la façon dont?

Mon plus gros problème est que l'utilisateur avec des comptes verrouillés peut toujours se connecter via des clés publiques. J'ai constaté que je pouvais ajouter l'utilisateur à un groupe "SSH-Verrouillé" Ajouter nier ce groupe de Sshing, mais je me demande toujours s'il y a un moyen de dire à Ssh'd: Veuillez vérifier le mot de passe avant les clés. ..

sshpasswordpublic-key
22
Oz123

Le serveur SSH décide quelles options d'authentification permettent, le client SSH peut être configuré pour décider de la commande dans laquelle l'ordre d'essayer.

Le client SSH utilise l'option PreferredAuthentications dans le fichier de configuration SSH pour le déterminer.

De man ssh_config ( voir en ligne ici ):

PreferredAuthentications
             Specifies the order in which the client should try protocol 2 authentication methods.  This allows a client to prefer
             one method (e.g. keyboard-interactive) over another method (e.g. password).  The default is:

                   gssapi-with-mic,hostbased,publickey,
                   keyboard-interactive,password

Je ne crois pas que ce soit possible, sans jouer avec la source, pour dire au serveur Openssh de préférer un certain ordre - si vous y réfléchissez, il n'a pas vraiment de sens de toute façon.

32
EightBitTony

Ajout aux deux autres réponses mentionnant déjà l'option PreferredAuthentications, j'aimerais ajouter , vous n'avez pas besoin d'éditer un fichier pour définir ce paramètre si vous ne le faites pas vouloir . Plutôt, vous pouvez simplement le définir à la ligne de commande pour un appel individuel à ssh, avec le -o option, comme suit:

ssh -o PreferredAuthentications=publickey,gssapi-with-mic,hostbased,keyboard-interactive,password user@hostname

Les références:

  1. Pour en savoir plus sur l'option PreferredAuthentications, voir man ssh_config ( voir en ligne ici ). Lisez également sur le ssh _ -o option dans le man ssh Pages manuelles ( en ligne ici ).
0
Gabriel Staples

Pour un compte véritablement verrouillé, vous pouvez également jouer avec sa date d'expiration. Les moyens de le faire dépendent du système d'exploitation de votre hôte, par ex. sur Linux, ce serait chage -d 0 someuser.

Voir aussi https://unix.stackexchange.com/questions/343535/what-is-the-solaris-equivalent-of-chage-d :-)

0
Jim Klimov