Hallo,
ich versuche gerade bei der SSH-Anmeldung eine 2-Faktorauthentifizierung unter openSUSE Leap 15.2 zu implementieren: Ich möchte, dass bei einer Verbindung per SSH die Abfrage der Anmeldedaten folgendermaßen aussieht:
Es soll eine Passwort-Authentifizierung sein, weil sich AD-Benutzer anmelden können sollen, die ihr Passwort alle 180 Tagen erneuern müssen. Damit ein Zugriff per SSHFS funktioniert, muss die Reihenfolge Passwort-2FA Token sein. Leider funktioniert das aber nicht, sobald auth include common-auth vor dem Google-Authenticator in /etc/pam.d/sshd steht, wird dieser übersprungen. Die Anmeldung mit AD-User & Passwort, sowie der Google-Auth funktioniert an sich, aber nur in falscher Reihenfolge. auth required pam_unix.so kann ich nicht verwenden, da hier die Daten aus /etc/passwd und /etc/shadow abgefragt werden, es aber nicht gewünscht ist, dass AD-Passwörter auf dem System gespeichert werden. Zur Zeit bleibt mir nur eine eher unschöne Lösung, bei der Passwort und Token in einer Zeile eingegeben werden müssen:
auth required pam_google_authenticator.so forward_pass [authtok_prompt=Passwort und 2FA Token: ]
auth requisite pam_nologin.so
auth include common-auth use_first_pass
auth include password-auth
#auth required pam_google_authenticator.so
account requisite pam_nologin.so
account include common-account
password include common-password
session required pam_loginuid.so
session include common-session
session optional pam_lastlog.so silent noupdate showfailed
Alles anzeigen
An der /etc/ssh/sshd_config habe ich folgende Änderungen vorgenommen:
Vielleicht hat jemand noch einen Tipp oder einen Lösungsvorschlag, wie ich das Problem lösen kann.
Danke für alle Antworten im Vorraus