Ayuda en línea de ESET

Seleccionar el tema

Otras configuraciones de RADIUS

En los ejemplos de abajo, utilizamos un entorno de dominio de Active Directory.

Tipo de cliente: el cliente no valida el nombre de usuario ni la contraseña

Si establece el Client Type como Client does not validate username and password cuando configura un cliente RADIUS en ESA Management Tool, ambos factores (nombre de usuario y contraseña como primer factor, y OTP como segundo factor) los verifica ESA:

radius_config_client_doesnotvalidateunameandpwd

 

Posteriormente, en /etc/pam.d/sshd (u otra integración), agregue la siguiente línea:

auth required /usr/lib/pam/pam_radius_auth.so

y comente (coloque una etiqueta # al principio) todas las demás líneas auth.


note

Verificación necesaria

El administrador de dominio debe comprobar si esta situación (deshabilitar específicamente el resto de módulos) es adecuada para su implementación.

 

En este caso, un proceso de inicio de sesión de SSH sería así:

Entrega de OTP por SMS: en el primer intento de contraseña, se solicita al usuario una contraseña AD. En el segundo intento de contraseña, ingresan su OTP.

pam-bothfactors-smsmobile-ssh

Otro tipo de OTP (autenticación compuesta): ingrese tanto la contraseña AD como la OTP al mismo tiempo como ADpasswordOTP. Por ejemplo, si su contraseña AD es Test y la OTP recibida es 123456, usted ingresará Test123456.
pam-bothfactors-mobilecompound-ssh

Tipo de cliente: el cliente valida el nombre de usuario y contraseña

Si establece el Clien Type como Client validates username and password cuando configura un cliente RADIUS en ESA Management Tool, entonces el primer factor (nombre de usuario y contraseña) lo verifica el otro módulo de PAM:

radius_config_client_validatesunameandpwd

 

Cuando se configure RADIUS de esta forma, agregue la siguiente línea /etc/pam.d/sshd (o la integración adecuada):

auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS

 

En este caso, un proceso de inicio de sesión de SSH sería así:

Las indicaciones que comienzan con la cadena Password: son gestionadas por otros módulos PAM. Las indicaciones que comienzan con la cadena RADIUS: son gestionadas por nuestro módulo PAM. Consulte el argumento 'prompt=RADIUS' en el código de ejemplo anterior

SMS: en la primera indicación, el usuario debe ingresar su contraseña AD. En la segunda indicación, debe ingresar el texto 'sms' (sin apóstrofes). En la tercera indicación, debe ingresar su contraseña AD. En la cuarta indicación, debe ingresar la OTP recibida

pam-secondfactor-sms-ssh

Otro tipo de OTP (OTP recibida a través de una aplicación móvil o hard token): ingrese la contraseña AD al primer intento. En el segundo intento, ingrese la OTP.

pam-secondfactor-mobile-ssh