Authentifizierungsarten am Beispiel ssh gegen lokale Dateien mit Passwort
Zur Navigation springen
Zur Suche springen
- Verbindungsaufbau
- Der Client baut eine verschlüsselte SSH-Verbindung zum Server auf und startet die Authentifizierung.
- Legitimation des Servers
- Verfahren hier unrelevant.
- Übertragung des Benutzernamens
- Der Client übermittelt den Benutzernamen, unter dem er sich lokal anmelden möchte.
- Prüfung der Authentifizierungsquelle in /etc/nsswitch.conf
- Der Server überprüft anhand der Datei /etc/nsswitch.conf, wo er die Benutzerdaten suchen soll (z. B. in `files`).
- Typischerweise wird die Benutzerinformation in `/etc/passwd` und die Passwortinformation in `/etc/shadow` gesucht.
- Passwort-Abfrage
- Der Server fordert das Passwort des Benutzers an, das lokal in der Datei /etc/shadow gespeichert ist.
- Verifizierung durch PAM
- Die Passwortverifizierung erfolgt durch das PAM-Subsystem (Pluggable Authentication Modules), das auf lokale Dateien wie `/etc/shadow` zugreift.
- PAM verwendet lokale Authentifizierungsmodule, um das eingegebene Passwort mit dem gespeicherten Hash zu vergleichen.
- Entscheidung
- Erfolgreiche Authentifizierung:
- Wenn das Passwort korrekt ist, wird der Zugriff gewährt und eine SSH-Sitzung eingerichtet.
- Fehlgeschlagene Authentifizierung:
- Bei falschem Passwort wird der Zugriff verweigert.
- Session-Erstellung
- Nach erfolgreicher Authentifizierung wird eine SSH-Session eröffnet, und der Benutzer kann auf den Server zugreifen.
- Protokollierung
- Der gesamte Authentifizierungsvorgang wird über journal protokolliert und kann über journalctl eingesehen werden.