ukleemann
05.12.2024
view1357
view8
0
Goto Top

Keine Authentifizierung mittels OTP (google Authenticator) bei zugriff via ssh

FrageSicherheitstools
Liebe Admin Kollegen,

ich habe mir auf meinen proxmox-testcluster eine vm eingerichtet und entsprechend für die Nutzung einer MFA mit OTP (google-authenticator) konfiguriert.

Der Zugriff auf die VM im proxmox funktioniert einwandfrei, bei ssh bekomme ich ein public key acces denied.

Was könnte das sein?


Gruss aus Stuttgart

Uli
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 670015

Url: https://administrator.de/forum/keine-authentifizierung-mittels-otp-google-authenticator-bei-zugriff-via-ssh-670015.html

Ausgedruckt am: 22.02.2025 um 17:02 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 05.12.2024 um 20:51:36 Uhr
Goto Top
Moin,
ich habe mir auf meinen proxmox-testcluster eine vm eingerichtet und entsprechend für die Nutzung einer MFA mit OTP (google-authenticator) konfiguriert.
nach welcher Anleitung hast du denn das Ganze eingerichtet?


Gruß,
Dani
ukleemann
ukleemann 16.12.2024 um 11:50:37 Uhr
Goto Top
Hallo Dani,

nach unser internen Auszug zu otp unten.


Sehr wichtig bitte sorgfältig lesen!
Damit Sie sicher auf ihre VM zugreifen können haben wir eine sog. 2-Faktor Authentifizierung eingerichtet d.h. Sie melden sich mit ihrem Benutzernamen und Passwort an und erhalten eine Meldung, daß ein sog. zweiter Faktor benötigt wird.
Dieser zweite Faktor ist ein nur einmal zu verwendendes Passwort in Form einer 6-stelligen Zahl, die automatisch zufällig vom Google-Authenticator erzeugt wird. Hierzu muss die entsprechende App auf ihrem Dienstsmartphone installiert und Sie für den Zugang freigeschaltet worden sein.
Diese Zahl tippen Sie als 2. Faktor ein .
Verwenden Sie dieses Einmailpasswort nur einmal - notieren Sie es nirgendwo  geben Sie es niemals weiter!
Diese 2 Faktor Authentifizierung müssen Sie noch auf ihrer neuen VM aktivieren.
Wechseln Sie auf der Konsole in dieses Verzeichnis /etc/ssh/sshd_config.d/  
(Wichtig Änderungen immer im Verzeichnis _config.d ausführen - niemals die config Datei selbst editieren!!!!!)
Sie führen also bitte aus:
cd  /etc/ssh/sshd_config.d/
dort legen Sie eine neue Datei  z.b.  10-totp.conf an
z.b. so : nano 10-totp.conf



Gruss 

Uli
dann tragen Sie bitte dort ein:
# Google Authenticator
UsePAM yes
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
speichern Sie die Datei mit STRG+X
Jetzt wechseln Sie in die das Verzeichnis /etc/pam.d
also cd /etc/pam.d
google-authenticator --time-based --disallow-reuse --window-size=3 --step-size=30 --rate-limit=3 --rate-time=30
Jetzt vergeben Sie für den Benutzer root bitte ein starkes Passwort bestehend aus Klein und Großbuchstaben den Ziffern 0 bis 9 und Sonderzeichen wie @#!§$%&/()=?`
Dani
Dani 17.12.2024 um 15:15:57 Uhr
Goto Top
Moin,
bin ich blind oder fehlt bei euch in der Doku die Anpassung der Datei /etc/pam.d/sshd?


Gruß,
Dani
ukleemann
ukleemann 17.12.2024 um 15:31:51 Uhr
Goto Top
Hallo Dani,

die schaut so aus:

PAM konfigurieren

Das PAM-Modul wird am Anfang der Datei /etc/pam.d/sshd eingefügt.

# PAM configuration for the Secure Shell service

# Google Authenticator
auth [success=done new_authtok_reqd=done ignore=ignore default=die] pam_google_authenticator.so

# Standard Un*x authentication.
@include common-auth

Die Zeile mit common-auth nicht auskommentieren.

Gruss

Uli
Dani
Dani 17.12.2024 um 16:20:17 Uhr
Goto Top
Moin,
deine Konfiguration funktioniert auf einem frischen Ubuntu Server 22.04 LTS problemlos. Wobei ich mich mit via Public Key (ohne PW) an der VM anmelde.

Wie lauten deine Rahmenbedingungen?


Gruß,
Dani
ukleemann
ukleemann 18.12.2024 um 08:22:29 Uhr
Goto Top
Hallo Dani,

was genau meinst du mit Rahmenbedingungen? Ich soll mich als root per ssh mit publickey und OTP aufschalten können (bash) funktioniert und soll mich als user mit publickey und otp auf die vnc der vm aufschalten können funktioniert nicht.

Ich hoffe das meinstest Du.

Gruss

Uli
Dani
Dani 18.12.2024 um 19:44:21 Uhr
Goto Top
Moin,
was genau meinst du mit Rahmenbedingungen?
Welches OS? Public Key oder Passwort Auth? Public Key mit Passpharse geschützt? Verwendest du den Benutzer "root" oder hast du einen dedizierten Benutzer angelegt?


Gruß
Dani
ukleemann
ukleemann 07.01.2025 um 15:07:07 Uhr
Goto Top
Hallo Dani,

ich greife als normalerBenutzer darauf zu.

Gruss

Uli
FrageSicherheitstools
Mehr von ukleemannukleemannLoglevel für Bacula erhöhenukleemann - 1 KommentarukleemannBinary operator expected und too many argumentsukleemann - 2 KommentareukleemannError openssl.c:68 TLS shutdown failureukleemann - 1 KommentarukleemannSSH mit publickey PasswordAuthentication no Problemukleemann - 6 Kommentare
Heiß diskutiert
MysticFoxDEWINDOWS 11 24H2 - Offizieller Support nur noch ab Intel Gen 11 CPUsMysticFoxDE - 47 KommentareMasterOfInternet6860 5G und 7590 (ohne AX) verbinden für Außenzugriff auf Datenträger an 7590MasterOfInternet - 38 KommentareLochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 35 KommentareniederrheinerOpenVPN Mikrotik Routing auf lokale Endgeräteniederrheiner - 28 Kommentareukulele-7Langlebiger USB-Stick gesuchtukulele-7 - 26 KommentareRoterFruchtZwergVEthernet Adapter entfernenRoterFruchtZwerg - 22 KommentaremichifsFirewall Migration - Hilfe zum Thema Routingmichifs - 21 KommentareFluxkondensatorNeue WLAN Lösung für KMUFluxkondensator - 18 KommentareN3cronomiconWin 11 24H2 - Vertrauensstellung zur Domäne verlorenN3cronomicon - 18 KommentareSinzalOffice 2013 auf Windows 11 hängt sich oft aufSinzal - 16 KommentareCoreknabeWo bezieht Ihr Eure LWL-Kabel?Coreknabe - 16 KommentarecoltseaversMicrosoft-Kontoregistrierung schlägt fehlcoltseavers - 15 Kommentarecirrus7VLAN DHCP Problemcirrus7 - 14 Kommentare