Authentifizierungsarten am Beispiel ssh gegen lokale Dateien mit Public Key

Der Client baut eine verschlüsselte SSH-Verbindung zum Server auf und startet die Authentifizierung.

Der Server überprüft anhand der Datei /etc/nsswitch.conf, wo er die Benutzerdaten suchen soll (z. B. in `files`).
Typischerweise wird die Benutzerinformation in `/etc/passwd` und die Public Keys des Benutzers in der Datei `~/.ssh/authorized_keys` gesucht.

Der Server überprüft, ob der öffentliche Schlüssel des Clients in der Datei `~/.ssh/authorized_keys` des Benutzers vorhanden ist.
Wenn der Public Key vorhanden ist, erstellt der Server eine Herausforderung (Challenge) und verschlüsselt sie mit dem öffentlichen Schlüssel des Clients und sendet diese an den Client.
Der Client entschlüsselt die Herausforderung mit seinem privaten Schlüssel und sendet die entschlüsselte Antwort an den Server zurück.
Wenn die vom Client zurückgesendete Antwort mit der ursprünglichen Herausforderung übereinstimmt, ist die Authentifizierung erfolgreich abgeschlossen.

Nach erfolgreicher Public-Key-Authentifizierung kann PAM für weitere Prüfungen wie Zugriffsrechte und zusätzliche Sicherheitskontrollen verwendet werden.
PAM-Module (Pluggable Authentication Modules) können sicherstellen, dass der Benutzer zusätzliche Richtlinien erfüllt, bevor die Session gestartet wird.

Erfolgreiche Authentifizierung:
- Wenn die Verifizierung der Antwort korrekt ist und die PAM-Prüfungen bestanden werden, wird der Zugriff gewährt und eine SSH-Sitzung eingerichtet.
Fehlgeschlagene Authentifizierung:
- Wenn die Verifizierung der Antwort fehlschlägt oder kein passender öffentlicher Schlüssel vorhanden ist, oder wenn die PAM-Prüfungen fehlschlagen, wird der Zugriff verweigert.

Nach erfolgreicher Authentifizierung und bestandenen PAM-Prüfungen wird eine SSH-Session eröffnet, und der Benutzer kann auf den Server zugreifen.

Der gesamte Authentifizierungsvorgang wird über journal protokolliert und kann über journalctl eingesehen werden.

Navigationsmenü