Le 18 juillet 2023 roger tarani a écrit : > Quel est le mécanisme détaillé conduisant à l'authentification de > l'utilisateur par l'hôte distant ? > (la clef privée reste sur l'hôte local ; comment la clef publique et la clef > privée sont-elles liées ? par la création d'un jeton ? ou autre ? )
La clef publique est indiquée au serveur lors de la demande de connexion. Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le client avec sa clef privée. > Stocker la clef privée localement avec pour seule protection des droits 600 > me semble léger même si c'est habituel. L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2 facteurs d'authentification. > Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur une > clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément > sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le système sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef pour qu'elle soit accessible par le client. > En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. > https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ > > > Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte > local et le HSM afin de réaliser une authentification ssh ? > Comment faut-il faire ? Je ne comprend pas ce que tu cherches à faire ? Tu veux qu'une authentification PAM passe par ssh et pas par le login habituel ?