ESETオンラインヘルプ

トピックを選択

その他のRADIUS構成

次の例では、Active Directoryドメイン環境を使用しました。

クライアントタイプ - クライアントがユーザー名とパスワードを検証

ESAC WebコンソールでRADIUSクライアントを設定するときにClient TypeをClient validates username and passwordに設定すると、最初の要素(ユーザー名とパスワード)が他のPAMモジュールによって検証されます。

radius_config_client_validatesunameandpwd

 

この方法でRADIUSを設定する場合は、/etc/pam.d/sshd (または適切な統合)に次の行を追加します。

auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS

 

この場合、SSHログインプロセスは次のようになります。

  • 文字列Password:で始まるプロンプトは、他のPAMモジュールによって処理されます。文字列RADIUS:で始まるプロンプトは、PAMモジュールによって処理されます。上記のサンプルコードの引数「prompt=RADIUS」を参照してください
  • SMS - ユーザーは、最初のプロンプトでADパスワードを入力する必要があります。2番目のプロンプトで、テキスト'sms' (アポストロフィなし)を入力する必要があります。3番目のプロンプトで、ADパスワードを入力する必要があります。4番目のプロンプトで、受信したOTPを入力する必要があります。

pam-secondfactor-sms-ssh

  • その他のタイプのOTP (モバイルアプリで受信したOTPまたはhard token)を使用している場合は、最初のプロンプトでADパスワードを入力し、2番目のプロンプトでOTPを入力します。

pam-secondfactor-mobile-ssh