SSH Gruppe nur mit Zert. + Gruppe nur mit Passwort

[DerH0ns]

Hi,
ich suche nach einer Möglichkeit den SSH-Login für bestimmte User nur per Zertifikat und für eine andere Gruppe nur mit Passwort.
Soweit ich weis bietet der SSH-Server diese Möglichkeit nicht, aber ist es vllt. möglich einen 2. SSH-Server mit anderer Config zu starten?

[rendegast]

Das braucht eine Kopie des Startskriptes,
entsprechend abgeändert, um keine Komplikation mit der ursprünglichen zu provozieren
(pidfile / Name / Provides: usw.).
Dazu noch eine weitere Konfigurationsdatei, mit anderem 'Port XXX'.

Beide Konfigurationsdateien können dann per

Code: Alles auswählen

DenyUsers ...
AllowUsers ...
DenyGroups ...
AllowGroups ...

entsprechend separieren.

[portishead]

Ich würde das alles mit einer sshd-Instanz machen. Für solche Fälle gibt es die Match-Direktive, mit der man abhängig von Benutzer, Gruppe, IP etc. Parameter konfigurieren kann. Das könnte dann so aussehen:

Code: Alles auswählen

Match Group passusers
  PasswordAuthentication yes
  PubkeyAuthentication no

Match Group certusers
  PasswordAuthentication no
  PubkeyAuthentication yes

Achte darauf, dass Du das ganz unten an die sshd_config anhängst. "passusers" und "certusers" sind auf dem System vorhandene Benutzergruppen (/etc/group)
Sinnigerweise würde ich aber Zertifikate für alle erlauben und für eben manche User eine Ausnahmeregelung per Match für die Verwendung von Passwörtern machen.

[rendegast]

Für solche Fälle gibt es die Match-Direktive

Und wo das doch auch am Ende der default-Konfigurationsdatei steht,
bei mir genau über dem per copy+paste hier eingetragenen "DenyUsers ... ... AllowGroups ...".