• # SOLVED SSH via PAM LDAP + RADIUS

    Posté par . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    Pour ceux que ça intéresse:
    Je précise qu'il n'y a AUCUN exemple faisant cela sur le net :)

    en gros pam faisait appel a common-auth via la directive:
    @include common-auth

    Comme je ne voulais pas que cela affecte tout le systeme... j'ai commenté l'include mais j'ai récupéré son contenu que j'ai "injecté dans le fichier sshd:

    J'y ai rajouté:
    auth sufficient /lib/security/pam_radius_auth.so

    Voila du coup à quoi la direcive auth de PAM correspond pour le fichier SSHD:

    auth [success=2 default=ignore] pam_unix.so nullok_secure
    auth [success=1 default=ignore] pam_ldap.so minimum_uid=1000 use_first_pass
    auth sufficient /lib/security/pam_radius_auth.so
    # here's the fallback if no module succeeds
    auth requisite pam_deny.so
    # prime the stack with a positive return value if there isn't one already;
    # this avoids us returning an error just because nothing sets a success code
    # since the modules above will each just jump around
    auth required pam_permit.so
    # and here are more per-package modules (the "Additional" block)
    auth optional pam_cap.so 
    

    Du coup j'ai mon double facteur !

    si je SSH une box authentifié en LDAP je dois saisir:
    motdepasse_ldap_suivi_de_otp_affichédans_le_labsde_temps

    et hop $

    :)