小编dgy*_*i92的帖子

我正在尝试为 OpenSSH 实施两因素身份验证。环境是 Centos 7（内核：3.10.0-229.1.2.el7.x86_64）和 OpenSSH_6.6.1p1，OpenSSL 1.0.1e-fips 2013 年 2 月 11 日。我们部署了 Active Directory (LDAP) + Kerberos。规格如下：

• 必须仅向具有现有有效 Kerberos 票证的用户询问第二个因素
• 必须要求没有现有有效 Kerberos 票证的用户提供他的密码和第二个因素
• 本地用户（无 LDAP acc.）应该能够使用他们的本地密码进行身份验证
• 在第一个因素之前不得提供第二个因素
• 除了 Kerberos 之外，如果可用，也应接受公钥身份验证作为第一因素
• 该功能应该能够仅限于一组用户 - 其他人只需输入密码即可

为了执行第二个因素的身份验证过程，有第 3 方可用的 PAM 模块，它对 Kerberos 一无所知。所以这就是我所做的：

将这些行放入 /etc/ssh/sshd_config：

# To enable PAM - this will make sshd use PAM with configuration /etc/pam.d/sshd
UsePam yes
ChallengeResponseAuthentication yes

# To enable Kerberos and public key authentication - it will let sshd use existing Kerberos tickets
GSSAPIAuthentication yes …