以下操作都要root用户来完成1.首先将AuthenticationAgent_534x_pam.tar放到目标主机上,然后展开。在安盟认证server上生成目标主机的配置文件,并放到目标主机上。2.备份目标主机上/etc/pam.d/sshd 、rlogin 、 login和/etc/ssh/sshd_config.3.在目标主机/var下建立ace目录 将生成的配置文件放到目录中。4.开始安装agent,在解开的AuthenticationAgent_534x_pam.tar 中找到install_pam.sh,并运行默认回车,接受协议,就将agent安装到了/opt/pam目录中了。5.然后在安盟认证server上添加用户,并激活这台目标主机,在目标主机上创建同样的用户并加上passwd,在/var/ace目录下创建一个sdopts.rec文件写上CLIENT_IP=目标主机的ip地址。(注意要大写)目标主机的名字、ip要和安盟的认证代理主机名字、ip相同。6.运行/opt/pam/bin/acesatus 来检查状态,查看配置是否正确,运行/opt/pam/bin/acetest 来检查在安盟认证的server上用户是否能够通讯。(确认无误)7.编辑/etc/ssh/sshd_config 、sshd、rlogin查找并设定如下: Openssh 配置:Sshd_configUsePam YesUsePrivilegeSeparation NoPasswordAuthentication No并Ucomment the lines as follows:HostKey /usr/etc/ssh_host_rsa_keyHostKey /usr/etc/ssh_host_dsa_keyPam 配置:Sshd(使用ssh来login 需要的配置)Ucomment the lines as follows:Auth required pam_stack.so service=system-authAuth required pam_nologin.so加上一行:Auth required pam_securid.so reserverlogin(使用rlogin来login需要的配置)Ucomment the lines as follows:Auth sufficient pam_rhosts_auth.so加上一行:Auth required pam_securid.so 8.现在安装配置已经完毕了,我们现在可以进行远程login测试了,找一个可以login这台目标主机的机器,运行ssh客户端软件,建议用sshclien或是securcrt集成客户端软件(windows平台),linux 就用自带的客户端软件,同时打开安盟认证server的日志监视器来查看实时状态。9.注意事项:以上配置应该可以完成认证保护,如没有成功请仔细检查配置,保证目标主机也server的通讯正常端口没有封堵,rlogin、telnet在防火墙打开的情况下是无法login的,请关掉防火墙服务或清楚防火墙规则。用户还可以通过在目标主机运行ngrep抓包工具来查看客户端-代理-server的通信情况看到加密的报文(udp)。另外要注意的是要用协议ssh2的版本的server 和client端,openssh如果是3.7.2需要打path补丁,现在最高能支持到4.1elp1,远端客户端使用的工具必须要支持secuid。 竞争颇似打网球,与球艺胜过你的对手比赛,
secureid双因素认证linux client端的部署推荐
