secureid双因素认证linux client端的部署 
版权声明:原创作品,谢绝转载!否则将追究法律责任。 |
以下操作都要root用户来完成
1.首先将AuthenticationAgent_534x_pam.tar放到目标主机上,然后展开。在安盟认证server上生成目标主机的配置文件,并放到目标主机上。
2.备份目标主机上/etc/pam.d/sshd 、rlogin 、 login和/etc/ssh/sshd_config.
3.在目标主机/var下建立ace目录 将生成的配置文件放到目录中。
4.开始安装agent,在解开的AuthenticationAgent_534x_pam.tar 中找到install_pam.sh,并运行默认回车,接受协议,就将agent安装到了/opt/pam目录中了。
5.然后在安盟认证server上添加用户,并激活这台目标主机,在目标主机上创建同样的用户并加上passwd,在/var/ace目录下创建一个sdopts.rec文件写上CLIENT_IP=目标主机的ip地址。(注意要大写)目标主机的名字、ip要和安盟的认证代理主机名字、ip相同。
6.运行/opt/pam/bin/acesatus 来检查状态,查看配置是否正确,运行/opt/pam/bin/acetest 来检查在安盟认证的server上用户是否能够通讯。(确认无误)
7.编辑/etc/ssh/sshd_config 、sshd、rlogin查找并设定如下:
Openssh 配置:
Sshd_config
UsePam Yes
UsePrivilegeSeparation No
PasswordAuthentication No
并Ucomment the lines as follows:
HostKey /usr/etc/ssh_host_rsa_key
HostKey /usr/etc/ssh_host_dsa_key
Pam 配置:
Sshd(使用ssh来login 需要的配置)
Ucomment the lines as follows:
Auth required pam_stack.so service=system-auth
Auth required pam_nologin.so
加上一行:
Auth required pam_securid.so reserve
rlogin(使用rlogin来login需要的配置)
Ucomment the lines as follows:
Auth sufficient pam_rhosts_auth.so
加上一行:
Auth required pam_securid.so
8.现在安装配置已经完毕了,我们现在可以进行远程login测试了,找一个可以login这台目标主机的机器,运行ssh客户端软件,建议用sshclien或是securcrt集成客户端软件(windows平台),linux 就用自带的客户端软件,同时打开安盟认证server的日志监视器来查看实时状态。
9.注意事项:以上配置应该可以完成认证保护,如没有成功请仔细检查配置,保证目标主机也server的通讯正常端口没有封堵,rlogin、telnet在防火墙打开的情况下是无法login的,请关掉防火墙服务或清楚防火墙规则。用户还可以通过在目标主机运行ngrep抓包工具来查看客户端-代理-server的通信情况看到加密的报文(udp)。另外要注意的是要用协议ssh2的版本的server 和client端,openssh如果是 本文出自 “黄琨” 博客,谢绝转载! 本文出自 51CTO.COM技术博客 |
黄琨
博客统计信息
热门文章
最新评论
友情链接