ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kapitolu

Ďalšie nastavenia RADIUS

V príkladoch nižšie sme použili doménové prostredie Active Directory.

Client Type – Client does not validate username and password

Ak pri konfigurácii klienta RADIUS v nástroji ESA Management Tool nastavíte Client Type na hodnotu Client does not validate username and password, ESA overí oba autentifikačné faktory (prihlasovacie meno a heslo ako prvý faktor a OTP ako druhý faktor):

radius_config_client_doesnotvalidateunameandpwd

 

Potom v súbore /etc/pam.d/sshd (alebo inej integrácii) pridajte nasledujúci riadok:

auth required /usr/lib/pam/pam_radius_auth.so

a zakomentujte všetky ostatné riadky auth (pridajte znak # na začiatok riadka).

note

Vyžaduje sa overenie

Správca domény musí overiť, či je tento scenár (deaktivácia všetkých ostatných modulov) vhodný na nasadenie.

 

V tomto prípade by prihlásenie cez SSH vyzeralo takto:

OTP zaslané cez SMS – pri prvom pokuse o prihlásenie sa používateľovi zobrazí výzva na zadanie hesla AD. Pri druhom pokuse zadá OTP.

pam-bothfactors-smsmobile-ssh

Iný typ OTP (kombinované overenie) – používateľ musí zadať heslo AD spolu s OTP vo formáte ADpasswordOTP. Ak je napríklad vaše heslo AD „Test„ a doručené OTP je „123456“, musíte zadať „Test123456“.
pam-bothfactors-mobilecompound-ssh

Client Type – Client validates username and password

Ak pri konfigurácii klienta RADIUS v nástroji ESA Management Tool nastavíte Clien Type na hodnotu Client validates username and password, potom je prvý faktor (prihlasovacie meno a heslo) overený iným modulom PAM:

radius_config_client_validatesunameandpwd

 

Pri takejto konfigurácii klienta RADIUS pridajte v súbore /etc/pam.d/sshd (alebo vhodnej integrácii) nasledujúci riadok:

auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS

 

V tomto prípade by prihlásenie cez SSH vyzeralo takto:

Výzvy, ktoré začínajú reťazcom Password:, sú spracované inými modulmi PAM. Výzvy, ktoré začínajú reťazcom RADIUS:, sú spracovávané naším modulom PAM (pozri argument prompt=RADIUS vo vzorovom kóde vyššie).

SMS – pri prvej výzve musí používateľ zadať svoje heslo AD. Pri druhej výzve musí zadať text „sms“ (bez úvodzoviek). Pri tretej výzve musí zadať svoje heslo AD. Pri štvrtej výzve musí zadať doručené OTP.

pam-secondfactor-sms-ssh

Iný typ OTP (OTP z mobilnej aplikácie alebo cez hard token) – pri prvom pokuse zadajte heslo AD. Pri druhom pokuse zadajte OTP.

pam-secondfactor-mobile-ssh