Інші конфігурації RADIUS

У наведеному нижче прикладі ми використовували середовище домену Active Directory.

Тип клієнта – клієнт не перевіряє ім’я користувача та пароль

Якщо задати для параметра Client Type значення Client does not validate username and password під час налаштування клієнта RADIUS в ESA Management Tool, ESA перевірятиме обидва фактори (перший – ім’я користувача й пароль, другий – OTP):

radius_config_client_doesnotvalidateunameandpwd

 

Після цього в /etc/pam.d/sshd (або інших інтеграціях) додайте такий рядок:

auth required /usr/lib/pam/pam_radius_auth.so

і закоментуйте (помістіть тег # на початку рядка) всі інші рядки auth.


note

Потрібно пройти перевірку

Адміністратор домену має переконатися, що цей сценарій підходить для відповідного розгортання. Особливу увагу слід вернути на те, що сценарій відключає всі інші модулі.

 

У цьому випадку процес входу SSH має бути таким:

Доставка пароля OTP у SMS-повідомленні: під час першої спроби ввести пароль у користувачу пропонується вказати пароль AD. Під час другої спроби вводу пароля пропонується ввести OTP.

pam-bothfactors-smsmobile-ssh

Інший тип OTP (комбінована автентифікація) – паролі AD й OTP потрібно ввести одночасно як ADpasswordOTP. Наприклад, якщо пароль AD – Test, а отриманий OTP – 123456, потрібно ввести Test123456.
pam-bothfactors-mobilecompound-ssh

Client Type – Client validates username and password

Якщо задати для параметра Clien Type значення Client validates username and password під час налаштування клієнта RADIUS в ESA Management Tool, інший модуль PAM перевірятиме перший фактор – ім’я користувача й пароль:

radius_config_client_validatesunameandpwd

 

Якщо ви налаштовуєте RADIUS таким чином, додайте вказаний нижче рядок у /etc/pam.d/sshd (або відповідну інтеграцію):

auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS

 

У цьому випадку процес входу SSH має бути таким:

Запити, які починаються з рядка Password:, обробляються іншими модулями PAM. Запити, які починаються з рядка RADIUS:, обробляється нашим модулем PAM. Див. аргумент "prompt=RADIUS '' у зразку коду вище

SMS: під час першого запиту користувач має ввести пароль AD. У відповідь на другий запит користувач має ввести текст "sms" (без апострофів). У відповідь на третій запит користувач має ввести пароль AD. У відповідь на четвертий запит необхідно ввести отриманий пароль OTP

pam-secondfactor-sms-ssh

Інший тип OTP (OTP отримано через мобільну програму або з використанням hard token): уведіть пароль AD під час першої спроби. Після другої спроби введіть пароль OTP.

pam-secondfactor-mobile-ssh