SSH- Passwort & Key- Anmeldung für best. User?

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
rumpel
Posts: 16
Joined: 2004-09-08 10:44

SSH- Passwort & Key- Anmeldung für best. User?

Post by rumpel »

Hallo,

ich habe jetzt schon ein Weilchen gesucht, aber nix hilfreiches gefunden. Vielleicht fehlen mir auch nur die richtigen Schlagwörter...

Auf meinen Debian Rootie habe ich nur einen User der sich per SSH mit AuthKey anmelden darf und das soll auch so bleiben. Jetzt möchte ich aber gerne weitere User für SCPonlyc anlegen und diese User sollen sich aber per Passwort anmelden können und nicht per Key.

Ist das irgendwie machbar?


mfg
rumpel

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SSH- Passwort & Key- Anmeldung für best. User?

Post by dodolin »

Mit sshd_config Boardmitteln eventuell nicht, aber ueber PAM sollte das regelbar sein und eigentlich sollte jeder SSHD gegen PAM gelinkt sein.

Roger Wilco
Administrator
Administrator
Posts: 5923
Joined: 2004-05-23 12:53

Re: SSH- Passwort & Key- Anmeldung für best. User?

Post by Roger Wilco »

Rumpel wrote:Ist das irgendwie machbar?
Das eine schließt das andere nicht aus. Solange PasswordAuthentication und PubkeyAuthentication aktiviert sind (auf 'yes' stehen), können sich die Benutzer mit beidem anmelden.
Wenn du den Benutzern, die sich nur per Pubkey anmelden können sollen nun noch ein ungültiges Passwort in die /etc/shadow packst, können die sich auch nur noch per Key anmelden.

rumpel
Posts: 16
Joined: 2004-09-08 10:44

Re: SSH- Passwort & Key- Anmeldung für best. User?

Post by rumpel »

Hi,


Vielen Dank euch beiden.

Also mit PAM habe ich leider nichts gefunden zu diesen Thema, aber ich habe es so gemacht wie Roger Wilco es vorgeschlagen hat und es funktioniert soweit :)

Mal schauen ob sich vielleicht noch eine elegantere Lösung findet...


mfg
rumpel

pf
Posts: 20
Joined: 2003-03-15 13:15

Re: SSH- Passwort & Key- Anmeldung für best. User?

Post by pf »

Hallo,

ich bin auch gerade auf der Suche nach einer Lösung für diese Frage: der beschriebene Weg funktioniert zwar, allerdings erscheint es mir unsinnig zuerst alle Zugriffsmöglichkeiten freizugeben und diese dann von Hand wieder einzuschränken.
Andersherum wäre es sinnvoller: nur für bestimmte Benutzer das Recht einräumen sich auch mittels Passwort anzumelden.

Bist Du bei Deiner Suche weiter gekommen und hast eine Lösung gefunden? Mit PAM könnte es vielleicht gehen, da kenn ich mich im Moment aber noch zu wenig aus.

Für jeden Tipp wäre ich also dankbar.

Grüße Patrick