Необходимо настроить сабж с условием, чтобы через Publickey можно было заходить с любого адреса, а через keyboard-interactive только "данным" пользователям и только с данных сетей(100.100.100.0/24).
Такое возможно вообще?
>Необходимо настроить сабж с условием, чтобы через Publickey можно было заходить с
>любого адреса, а через keyboard-interactive только "данным" пользователям и только с
>данных сетей(100.100.100.0/24).
>Такое возможно вообще?прописать "всем" в ~/.ssh/config
Host *
IdentityFile ~/.ssh/pvt_keys/bla-bla-bla
PreferredAuthentications publickey"данным"
Host *
PasswordAuthentication yesто есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.
>"данным"
>
>Host *
>PasswordAuthentication yes
>
>то есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.
>
Только в этом случае "данные" смогут заходить отовсюду. А требуется привязка к диапазону(сетке). В этом вся фишка ;)
>>"данным"
>>
>>Host *
>>PasswordAuthentication yes
>>
>>то есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.
>>
>Только в этом случае "данные" смогут заходить отовсюду. А требуется привязка к
>диапазону(сетке). В этом вся фишка ;)хитрО :) /me предлагает совместно раскурить man sshd_config
P.S. два sshd на разных портах - с аутентификацией по ключам и с аутентификацией по паролям плюс запрет для определенной подсетки коннекта на порт с sshd, где аутентификация по паролю?
>P.S. два sshd на разных портах - с аутентификацией по ключам и
>с аутентификацией по паролям плюс запрет для определенной подсетки коннекта на
>порт с sshd, где аутентификация по паролю?
Вообщем то вариант, только невооружённым глазом видно, что через заднее крыльцо :)
И потом, запрет на подсетку будем где делать, на фаерволе?... а надобы через сам сабж.
>>P.S. два sshd на разных портах - с аутентификацией по ключам и
>>с аутентификацией по паролям плюс запрет для определенной подсетки коннекта на
>>порт с sshd, где аутентификация по паролю?
>Вообщем то вариант, только невооружённым глазом видно, что через заднее крыльцо :)
о то ж
>
>И потом, запрет на подсетку будем где делать, на фаерволе?... а надобы
>через сам сабж.на фаерволе вестимо. никгогда такой штуки не воротил, так что ушел читать маны =)
Добавлю: (Даже не так немного)
Один и тот-же юзер должен заходить отовсюду только через publickey, но из trusted-nets он может заходить и обычным паролем (keyboard-interactive).
>Добавлю: (Даже не так немного)
>Один и тот-же юзер должен заходить отовсюду только через publickey, но из
>trusted-nets он может заходить и обычным паролем (keyboard-interactive).ну то есть да, метод PS из 3 поста.
>Host *
>PasswordAuthentication yes
>
>то есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.Вот здесь, по-моему, можно сделать так:
Host 129.168.0.1,*.trusted.com
PasswordAuthentication yes
>>Host *
>>PasswordAuthentication yes
>>
>>то есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.
>
>Вот здесь, по-моему, можно сделать так:
>
>Host 129.168.0.1,*.trusted.com
>PasswordAuthentication yesлогично =) только приведенная цитата - из файла конфигурации клиента, а не сервера, как надо Sambo.
>>>Host *
>>>PasswordAuthentication yes
>>>
>>>то есть, определить метод авторизации на уровне КЛИЕНТОВ. и, по-моему, только так.
>>
>>Вот здесь, по-моему, можно сделать так:
>>
>>Host 129.168.0.1,*.trusted.com
>>PasswordAuthentication yes
>
>логично =) только приведенная цитата - из файла конфигурации клиента, а не
>сервера, как надо Sambo.надеюсь вы не про openssh спрашивали :)
HostSpecificConfig и UserSpecificConfig в /etc/ssh/sshd_config.