Login par clé ssh

Publié le par Peck

Maintenant sur http://linux-attitude.fr/post/Login-par-cle-ssh

Niveau:

Résumé: apt-get install libpam-ssh && vi /etc/pam.d/...

Après avoir utilisé l'agent ssh et les clés (voir article de lundi 26), vous voulez aller plus loin.

Je suis sur que vous utilisez régulièrement ssh. Chose embêtante, après chaque login vous devez retaper cette passphrase pour vous connecter. Bien sûr vous avez mis un ssh-askpass pour ne plus oublier de la taper, mais c'est un peu lourd.

Je vous propose donc d'entrer cette passphrase une seule fois directement au login. Elle remplacera votre mot de passe et enregistrera directement la clé dans l'agent. Comment faire ? Tout d'abord installez libpam-ssh avec la méthode que propose votre distrib favorite. Ensuite, il vous faut choisir pour quels type de login vous voulez ceci. La liste se trouve dans /etc/pam.d Il est probable que vous le vouliez pour kdm ou gdm mais pas pour les autres. Dans ce cas éditez le fichier en question, il doit ressembler à quelque chose comme ceci :

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include pam-ssh-auth
@include common-auth
@include common-account
session required        pam_limits.so
@include pam-ssh-session
@include common-session
@include common-password

Les includes liés à pam-ssh se situent avant les autres pour permettre de demander la passphrase en premier. Mais on a gardé l'ancienne méthode, donc en cas d'échec, il est toujours possible de donner son mot de passe pour se connecter.

Il se peut que votre distribution n'utilise pas d'include pour configurer pam. A ce moment les lignes à ajouter ressembleront plutôt à ceci :

auth sufficient pam_ssh.so try_first_pass keyfiles=id_dsa,id_rsa,identity,id_dsa1,id_dsa2,id_dsa3
session optional pam_ssh.so

Pam étant une bibliothèque, il n'y a rien a relancer.

Publié dans admin

Commenter cet article