Есть ли возможность ограничить проверку подлинности на основе пароля конкретным пользователем в Solaris 10?
Конкретный пользователь не должен входить в систему с паролем. Вместо этого он должен иметь возможность войти только с ключом. Я планирую ограничить вход пользователей через SSH на основе паролей и ключей из другой системы, чтобы конкретный пользователь мог войти в систему с паролем, а определенный тип пользователей мог войти в систему только с помощью ключа.
В Solaris 10, если вы используете источник "files" для базы данных паролей в /etc/nsswitch.conf, вы можете запретить пользователю входить в систему с паролем, убедившись, что в учетной записи нет действительного пароля в Файл /etc /shadow. Поскольку механизм для этого вставляет буквенный текст "NP" в поле пароля, он известен как "NPing учетная запись".
Команда для этого для конкретной учетной записи: passwd -N <account> . Для этого всегда используйте команду passwd, а не редактируйте теневой файл напрямую.
Будьте осторожны, чтобы не заблокировать учетную запись (passwd -l), так как это предотвращает использование ключей для входа в систему также через ssh.
Если позже вы решите использовать некоторую форму двухфакторной аутентификации, такую как SecurID или другую форму аутентификации RADIUS (в дополнение к PKH SSH), вы должны реализовать это через PAM. В этом случае введенный пароль должен быть передан следующему провайдеру, если совпадение с /etc /passwd не удастся, как в этом случае.
Извините, если мой ответ может быть неуместным, но ваш вопрос мне неясен. Я сделаю это!
Начиная с OpenSSH 5.x и более поздних версий, вы можете сопоставлять определенных пользователей (Match User) и группы (Match Group) в файле конфигурации. Я бы просто добавил что-то вроде этого в мой sshd_config:
Совпадение Пользователь rajkumar
ПарольАутентификация нет
ChallengeResponseAuthentication no
PubkeyAuthentication да
Вероятно, вы могли бы достичь того же результата, используя подходящий сменный модуль аутентификации с PAM, реализованным в Solaris.
Удачи!
