Ihr eigener ID Server
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!
Mehr ErfahrenSecSign ID Plugin: SSH PAM
16.12.2016
5 Minuten Lesedauer
Inhaltsverzeichnis
Zwei-Faktor Authentifizierung für SSH PAM
Die Pluggable Authentication Modules (PAM) sind eine Softwarebibliothek, die eine allgemeine Programmierschnittstelle für Authentifizierungsdienste zur Verfügung stellt. Statt die Einzelheiten der Authentifizierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an. In einer Konfigurationsdatei können die Module einzelnen Diensten zugeordnet werden, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, Mac OS X und DragonFly BSD zur Verfügung.
PAM Überblick
SELinux
Integration
Integration des Plugins in Ihr Setup
edit the settings to change the integration
Authentication
2FA
2FA blind
2FA no AP
2SA
2SA no AP
2SA blind
OTP
Enrollment
Custom ID
Pattern
IDP Custom Website
IDP Email Enrollement Code
Enrollment initiated by SP
Enrollment with IDM
Installation und Konfiguration
Installation und Konfiguration
Bevor Sie damit beginnen das SecSignID PAM als Authentifizierung für SSH zu nutzen, lesen Sie sich bitte das SecSign ID PAM Tutorial durch und befolgen die Schritte 3-5 um das PAM korrekt zu konfigurieren und installieren.
Kurzversion der Konfiguration und Installation:
- libcurl und gcc werden vorausgesetzt
- SecSignID PAM anfragen und entpacken
- Pfade zur Konfigurationsdatei in
secsign.canpassen - Namen aller Nutzer und dazugehörige SecSignIDs in
secsignid.configeintragen make- Die kompilierte Datei
pam_secsignid.soin die PAM Bibliothek kopieren (normalerweise/lib/security)
Konfiguration mit SSH
Konfiguration mit SSH
Abhängig von System, Login Vorraussetzungen und OpenSSH Version können folgende Schritte abweichen:
Public Key mit Keyboard interactive 2FA (Beispiel in RHEL):
Nach OpenSSH Version 6.2 kann der Konfigurationsparameter AuthenticationMethods genutzt werden. Öffnen Sie die Konfigurationsdatei /etc/ssh/sshd_config und ändern sie folgende Parameter:
PubkeyAuthentication yes PasswordAuthentication no PermitEmptyPasswords no AuthenticationMethods publickey,keyboard-interactive ChallengeResponseAuthentication yes UsePAM yes
Öffnen Sie dann die Konfigurationsdatei für die SSHd PAM Einstellungen /etc/pam.d/sshd und ändern sie den PAM Ablauf entspechend ab:
auth required pam_sepermit.so #auth substack password-auth auth required pam_env.so auth required pam_secsignid.so auth include postlogin
Tauschen sie die Keys mit dem Server und Client aus und starten sie den sshd Service neu
service sshd restart
Bauen Sie eine Verbindung zum SSH Server auf und testen Sie die SecSignID Zwei-Faktor Authentifizierung.
Passwort mit 2FA (Beispiel in Ubuntu):
Öffnen Sie die Konfigurationsdatei /etc/ssh/sshd_config und aktivieren Sie die Verwendung von PAM:
UsePAM yes
Öffnen Sie dann die Konfigurationsdatei für die SSHd PAM Einstellungen /etc/pam.d/sshd, kommentieren Sie den Eintrag unter „Standard Un*x authentication“ aus und fügen Sie folgendes ein:
# PAM configuration for the Secure Shell service # Standard Un*x authentication. auth [success=1 default=ignore] pam_secsignid.so auth requisite pam_deny.so auth required pam_permit.so #@include common-auth
Speichern Sie die Datei und starten Sie den SSH Server neu.
Bauen Sie eine Verbindung zum SSH Server auf, geben sie ihr Passwort ein und testen Sie die SecSignID Zwei-Faktor Authentifizierung.
Fehlerquellen
Fehlerquellen
Fehler beim Kompilieren
Die Bibliothek libcurl muss im Standart Pfad installiert sein, ansonsten schlägt make fehl. Befindet sich libcurl außerhalb der Standart Pfade, muss manuell kompiliert werden.
Fehler bei der Authentifizierung
Gibt es Fehler bei der Authentifizierung sollte immer der Debug- sowie der Logmodus aktiviert werden (siehe PAM Debug- & Logmodus) und die Ausgaben in eine Datei geschrieben werden, da das PAM normalerweise still ist und keine Ausgaben zulässt (sicherheitsrelevant). Werden trotzdem keine Log- oder Debug Dateien erstellt, sind die in secsignid.c angegebenen Pfade fehlerhaft bzw. es besteht kein Lese- & Schreibrecht.
Es wird dann eine Log-Datei erstellt, wo generelle Fehler aufgezeichnet werden. Arbeitet libcurl korrekt und ist der SecSignID Server erreichbar? Ist Port 443 verfügbar um mit dem Server zu kommunizieren? Wird die Konfigurationsdatei gefunden und hat das PAM Lesezugriff darauf?
Es wird eine Debug-Datei erstellt, wo die Schnittstellen Kommunikation aufgezeichnet ist. Gibt es Fehler bei der Kommunikation, weil keine SecSignID zu dem Nutzer gefunden werden kann oder gibt es Fehler bei einem der Parameter, wie serviceName?
SELinux
Mit der Benutzung dieses PAM Moduls, braucht sshd Zugriff auf mehrere Dateien, inklusive dem Ordner mit den Lock-Files. Sshd verbindet sich ausserdem mit dem ID-Server auf Port 443. Wenn sie SELinux nutzen, müssen sie Regel festlegen um diese Zugriffe zu erlauben.
Um das zu tun, suchen sie im System Log nach den Einträgen die geblockt wurden:
sudo grep denied /var/log/audit/audit.log
Vorsicht, hier können auch andere Programme Fehlermeldungen ablegen – diese nicht kopieren. Kopieren sie die entsprechenden Zeilen und führen sie den folgenden Befehl aus:
sudo audit2allow -M local << _EOF_ (paste the content) _EOF_
Anschliessend folgendes:
semodule -i local.pp
Das erstellt eine permanente Regel für die geblockten Zugriffe, so muss SELinux nicht deaktiviert werden.
