Otras configuraciones de RADIUS
En los ejemplos de abajo, utilizamos un entorno de dominio de Active Directory.
Tipo de cliente: el cliente no valida el nombre de usuario ni la contraseña
Si establece el Client Type como Client does not validate username and password cuando configura un cliente RADIUS en ESA Management Tool, ambos factores (nombre de usuario y contraseña como primer factor, y OTP como segundo factor) los verifica ESA:
Posteriormente, en /etc/pam.d/sshd (u otra integración), agregue la siguiente línea:
auth required /usr/lib/pam/pam_radius_auth.so
y comente (coloque una etiqueta # al principio) todas las demás líneas auth.
Verificación necesaria El administrador de dominio debe comprobar si esta situación (deshabilitar específicamente el resto de módulos) es adecuada para su implementación. |
En este caso, un proceso de inicio de sesión de SSH sería así:
•Entrega de OTP por SMS: en el primer intento de contraseña, se solicita al usuario una contraseña AD. En el segundo intento de contraseña, ingresan su OTP.
•Otro tipo de OTP (autenticación compuesta): ingrese tanto la contraseña AD como la OTP al mismo tiempo como ADpasswordOTP. Por ejemplo, si su contraseña AD es Test y la OTP recibida es 123456, usted ingresará Test123456.
Tipo de cliente: el cliente valida el nombre de usuario y contraseña
Si establece el Clien Type como Client validates username and password cuando configura un cliente RADIUS en ESA Management Tool, entonces el primer factor (nombre de usuario y contraseña) lo verifica el otro módulo de PAM:
Cuando se configure RADIUS de esta forma, agregue la siguiente línea /etc/pam.d/sshd (o la integración adecuada):
auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS
En este caso, un proceso de inicio de sesión de SSH sería así:
•Las indicaciones que comienzan con la cadena Password: son gestionadas por otros módulos PAM. Las indicaciones que comienzan con la cadena RADIUS: son gestionadas por nuestro módulo PAM. Consulte el argumento 'prompt=RADIUS' en el código de ejemplo anterior
•SMS: en la primera indicación, el usuario debe ingresar su contraseña AD. En la segunda indicación, debe ingresar el texto 'sms' (sin apóstrofes). En la tercera indicación, debe ingresar su contraseña AD. En la cuarta indicación, debe ingresar la OTP recibida
•Otro tipo de OTP (OTP recibida a través de una aplicación móvil o hard token): ingrese la contraseña AD al primer intento. En el segundo intento, ingrese la OTP.