ssh -o PreferredAuthentications : "암호"와 "키보드 대화식"의 차이점은 무엇입니까?

36

모두 PreferredAuthentications=passwordPreferredAuthentications=keyboard-interactive암호를 입력하라는 메시지 것이다, 그래서 그들 사이의 차이점은 무엇입니까?

Google은 키워드 ssh PreferredAuthentications 비밀번호 키보드-대화 형 차이점을 사용 했지만 답변이 없습니다.

내가 알았던 유일한 차이점은 프롬프트 문자열 ( user@host's password:vs Password:)입니다.

$ ssh -o PreferredAuthentications=password,keyboard-interactive my-host
root@my-host's password:
Password:
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).

업데이트 (2018-04-09) :

쉽게 참조 할 수 있도록 다음은 jouell 's answer 에서 언급 한 SSH : TDG 서적에서 제공 됩니다 .

"keyboard-interactive"사용자 인증은 주로 PAM서버 측의 인증을 수용 하기위한 것 입니다. 그것은을 제공 여러 시도 - 응답 대화 서버가 사용자 응답에서 사용자 유형에 텍스트 쿼리를 전송하는 사용자와,이 과정을 여러 번 반복 할 수 있습니다. 예를 들어, RSA 보안 토큰 또는 일회성 비밀번호 체계를 PAM사용하여 인증을 수행하는 모듈로 SSH를 구성 할 수 있습니다 . 기본적으로 인증은 일반적으로 단일 챌린지-응답주기에서 비밀번호 인증을 구현하므로 비밀번호를 묻는 메시지가 표시되므로"keyboard-interactive""password"입증. 다른 목적으로 의도적으로 두 가지를 모두 사용하지 않는 경우 최종 사용자 혼동을 피하기 위해 둘 중 하나를 비활성화 할 수 있습니다.

ssh  authentication  openssh 
pynexj
소스
1
암호 인증에 대해서는 RFC 4252 를, 키보드 대화 형에 대해서는 RFC 4256 을 참조하십시오 .
pynexj 2016 년

답변:

37

SSH 프로토콜에는 수많은 인증 방법이 있습니다. 암호키보드 상호 작용은 그 두 가지입니다.

암호 인증은 하나의 암호에 대한 간단한 요청입니다. 서버가 보낸 특정 프롬프트가 없습니다. 그것은가 선택한 프롬프트 레이블하는 방법을 것을 클라이언트 그래서합니다 ( "호스트의 암호 @ 사용자가" 프롬프트의 OpenSSH에서입니다 클라이언트 와 같은 ssh, sftp등).

키보드 형 인증 정보들 중 임의의 수의 더 복잡한 요청이다. 각 정보에 대해 서버 는 프롬프트의 레이블을 보냅니다. 또한 서버가 전체 "양식"에 대한 자세한 설명을 제공 할 수 있습니다. 서버는 또한 어떤 입력이 비밀인지 (사용자가 입력 할 때 난독 화해야 함) 입력하지 않을 것을 지정할 수 있습니다.

대부분의 경우 키보드 대화식 인증 이 단일 "비밀"비밀번호 프롬프트를 요청하는 데 사용되므로 비밀번호 인증 과 거의 차이가 없습니다 .

이것이 프로토콜 관점과의 차이점입니다.

구현 관점에서 OpenSSH 서버를 사용하면 키보드 대화 형 인증 을 2 단계 (또는 다중 요소) 인증에 연결할 수 있습니다 (예 : 일반 PAM 메커니즘 또는 Kerberos 제공) .

클라이언트 관점에서 또 다른 차이점은 지역화입니다. 으로 암호 인증 , 클라이언트는 지역화 할 수 있습니다 "암호" 는 서버가 암호를 요구하고 알고 있기 때문에, 라벨을. 키보드 대화식 인증을 사용하면 서버가 단일 암호 만 요구하더라도 클라이언트가 일반 프롬프트이므로 프롬프트를 현지화 할 수 없습니다 (AI를 사용하지 않는 한).

마틴 프리 크릴
소스
2

당신은 이미 '암호'가 무엇인지 알고 있습니다. 브릭 레벨 프로토콜이 아닌 매우 높은 수준에서 '키보드 대화 형'을 Radius 및 / 또는 SecurID 등을 사용하여 2FA를 사용하는 방법으로 생각하십시오. 도전과 응답 대화 상자를 제공합니다. ssh.com 에는 그것에 대한 간단한 설명. 키보드 대화식을 강조하기 위해 한 단계 더 나아가 암호가 속하는 우산입니다. 저자들에게는 각각 다소 혼란 스럽다.

달팽이 책 정의 도 참조하십시오 . 우리는 이것을 RSA 보호 상자에 자주 사용합니다.

주엘
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.