46 votes

su.root avatar

ssh -o PreferredAuthentications : Quelle est la différence entre "password" et "keyboard-interactive" ?

Demandé el 27 de Mars, 2015
Quand la question a-t-elle été
48137 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Les deux PreferredAuthentications=password y PreferredAuthentications=keyboard-interactive demanderait le mot de passe, quelle est donc la différence entre les deux ?

J'ai cherché les mots-clés sur Google ssh PreferredAuthentications password keyboard-interactive difference mais n'a trouvé aucune réponse.

La seule différence que j'ai remarquée concerne les chaînes d'invite ( user@host's password: vs. Password: ):

$ ssh -o PreferredAuthentications=password,keyboard-interactive my-host
root@my-host's password:
Password:
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

MISE À JOUR (2018-04-09) :

Pour faciliter la lecture, le texte suivant est tiré de la Livre SSH:TDG comme mentionné dans réponse de jouell .

"keyboard-interactive" L'authentification de l'utilisateur a pour but principal de répondre aux besoins des utilisateurs. PAM du côté du serveur. Il prévoit une dialogue défi-réponse multiple avec l'utilisateur, dans lequel le serveur envoie une requête textuelle à l'utilisateur, l'utilisateur saisit une réponse, et ce processus peut se répéter autant de fois qu'il le souhaite. Par exemple, vous pouvez configurer PAM pour SSH avec un module qui effectue l'authentification à l'aide d'un Jeton de sécurité RSA ou un mot de passe à usage unique Le régime de l'assurance maladie est en place. Les gens ne s'y retrouvent pas car, par défaut, c'est l'inverse qui se produit, "keyboard-interactive" se contente généralement de mettre en œuvre l'authentification par mot de passe dans un cycle défi-réponse unique, qui demande simplement un mot de passe, ce qui est exactement la même chose que l'authentification par "password" l'authentification. Si vous n'utilisez pas délibérément les deux à des fins différentes, vous pouvez désactiver l'un ou l'autre afin d'éviter toute confusion pour l'utilisateur final.

Demandé el 27 de Mars, 2015 par su.root

Réponses

Trop de publicités?

43voto

Martin Prikryl avatar
Martin Prikryl Points 18838

Le protocole SSH dispose de nombreuses méthodes d'authentification. L'authentification mot de passe y clavier interactif sont deux d'entre eux.

En authentification par mot de passe est une simple demande d'un seul mot de passe. Le serveur n'envoie pas d'invite spécifique. C'est donc le client qui choisit comment étiqueter l'invite (The "mot de passe de l'utilisateur@hôte" est celle de l'interface OpenSSH clients , comme ssh , sftp etc).

En authentification interactive du clavier est une demande plus complexe portant sur un nombre arbitraire d'éléments d'information. Pour chaque élément d'information, le serveur envoie l'étiquette de l'invite. En outre, il permet au serveur de fournir une longue description de la "forme" générale. Le serveur peut également spécifier quelles entrées sont secrètes (doivent être obscurcies lorsque l'utilisateur les tape) et lesquelles ne le sont pas.

Bien que dans la majorité des cas, le authentification interactive du clavier est utilisé pour demander une seule invite de mot de passe "secret", de sorte qu'il n'y a guère de différence avec l'option authentification par mot de passe .

C'est la différence du point de vue du protocole.

Du point de vue de la mise en œuvre, avec le serveur OpenSSH, la fonction authentification interactive du clavier peut être relié à des authentifications à deux facteurs (ou à plusieurs facteurs), fournies par exemple par mécanisme PAM générique o Kerberos .

Du point de vue du client, la localisation constitue une autre différence. En effet, avec authentification par mot de passe le client peut localiser le "Mot de passe car il sait que le serveur demande un mot de passe. Avec authentification interactive du clavier Même lorsque le serveur ne demande qu'un seul mot de passe, le client ne peut pas localiser l'invite (à moins d'utiliser l'IA), car il s'agit d'une invite générique.

Répondu el 27 de Mars, 2015 par Martin Prikryl (18838 Points )

1voto

Michal Coka avatar
Michal Coka Points 1

Vous savez déjà ce qu'est un "mot de passe". D'un point de vue très élevé (pas au niveau du protocole), pensez à "clavier interactif" comme la méthode qui vous permet d'utiliser 2FA à l'aide de Radius et/ou SecurID, etc. Elle prévoit des dialogues de défi et de réponse : ssh.com contient une description succincte et agréable. Elle va plus loin en soulignant que le clavier interactif est le parapluie dans lequel s'inscrit le mot de passe. Avec tout le respect que je dois aux auteurs, c'est un peu confus.

Voir aussi le Livre de l'escargot définition. Nous l'utilisons fréquemment pour nos boîtes protégées par RSA.

Répondu el 8 de Avril, 2018 par Michal Coka (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X