Re: Authentification ssh et PAM
Le 18 juillet 2023 roger tarani a écrit :
> Quel est le mécanisme détaillé conduisant à l'authentification de l'utilisateur par l'hôte distant ?
> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef privée sont-elles liées ? par la création d'un jeton ? ou autre ? )
La clef publique est indiquée au serveur lors de la demande de connexion.
Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le
client avec sa clef privée.
> Stocker la clef privée localement avec pour seule protection des droits 600 me semble léger même si c'est habituel.
L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2
facteurs d'authentification.
> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur une
> clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément
> sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le système
sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc
ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef
pour qu'elle soit accessible par le client.
> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué.
> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/
>
> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte local et le HSM afin de réaliser une authentification ssh ?
> Comment faut-il faire ?
Je ne comprend pas ce que tu cherches à faire ? Tu veux qu'une
authentification PAM passe par ssh et pas par le login habituel ?
Reply to: