SSHでの認証順序

Question

-vを使用してssh経由でログインすると、sshが次の方法で認証していることがわかります

debug1: Authentications that can continue: publickey,gssapi-with-mic,password,hostbased

順序を変更したい...どのように考えていますか？

私のより大きな問題は、ロックされたアカウントを持つユーザーが、まだ公開鍵を介してログインできることです。ユーザーを「ssh-locked」グループに追加して、そのグループのsshingを拒否できることを発見しましたが、sshに通知する方法があるかどうか疑問に思っています。キーの前にパスワードを確認してください。 ..

EightBitTony · Accepted Answer

Sshサーバーは許可する認証オプションを決定し、sshクライアントはそれらを試行する順序を決定するように構成できます。

Sshクライアントは、ssh構成ファイルのPreferredAuthenticationsオプションを使用してこれを判別します。

man ssh_config（オンラインでご覧ください）：

PreferredAuthentications Specifies the order in which the client should try protocol 2 authentication methods. This allows a client to prefer one method (e.g. keyboard-interactive) over another method (e.g. password). The default is: gssapi-with-mic,hostbased,publickey, keyboard-interactive,password

ソースをいじらないと、OpenSSHサーバーに特定の順序を優先するように指示することは不可能だと思います。考えてみれば、とにかくまったく意味がありません。

Pavel Anni · Answer

これを追加する：

PreferredAuthentications keyboard-interactive,password,publickey,hostbased,gssapi-with-mic

.../etc/ssh/ssh_configを使用して解決することができ、時間も大幅に節約されました。

ssh -v user@Hostコマンドを使用して接続することで機能するかどうかを確認できます。ここで、-vは「verbose」を表します。

Gabriel Staples · Answer

すでにPreferredAuthenticationsオプションについて言及している他の2つの回答に加えて、必要がない場合は、この設定を行うためにファイルを編集する必要はありませんを追加したいと思います。代わりに、_-o_オプションを使用して、次のように_sshへの個々の呼び出しのコマンドラインで設定するを実行できます。

_ssh -o PreferredAuthentications=publickey,gssapi-with-mic,hostbased,keyboard-interactive,password user@hostname _

参照：

PreferredAuthenticationsオプションの詳細については、_man ssh_config_を参照してください（オンラインで参照）。 _-o_マニュアルページのssh _man ssh_オプションについてもお読みください（オンラインはこちら）。

Jim Klimov · Answer

本当にロックされたアカウントの場合、通常は有効期限も使用できます。これを行う方法は、ホストのOSによって異なります。 Linuxではchage -d 0 someuser。

参照 https://unix.stackexchange.com/questions/343535/what-is-the-solaris-equivalent-of-chage-d :-)