Ir directamente al contenido
Español
Contáctanos Portal del cliente
  • No hay sugerencias porque el campo de búsqueda está vacío.

Inicio de sesión Linux

En esta guía encontraras los pasos a seguir para segurizar tus accesos en un sistema Linux mediante Ironchip.

Requisitos:

  • Acceso al panel de Ironchip
  • Usuario con permisos para realizar la configuación en el equipo

Pasos a seguir:

Aplicación

Para añadir la aplicación al panel de control de Ironchip, vaya al apartado aplicaciones > nueva aplicación.

En la siguiente ventana tendremos que seleccionar el tipo de integración, para la integración de inicio de sesión de Linux seleccionaremos "Linux Logon".

A continuación indicaremos un nombre descriptivo a la aplicación y le daremos a Add.

Una vez creada la aplicación nos aparecerá una API KEY que tendremos que usar mas tarde para la configuración.

Dar acceso a usuarios

  1. Vaya al servicio recién creado, pulse en añadir nuevo acceso.
  2. Seleccione el o los usuarios que van a utilizar el servicio.
  3. Configure el nombre de usuario para que coincida con el del sistema Linux.
  4. Configure las condiciones de acceso que tiene que cumplir el usuario para poder acceder al equipo.

5. Guarde el acceso.

Instalación

El primer paso es opcional, ya que solo es necesario en algunos casos, se trata de instalar unas dependencias con el siguiente comando:

sudo apt-get install libcurl4-openssl-dev libpam-dev uuid-dev

El siguiente paso es crear una carpeta en una ubicación segura:

mkdir  /usr/local/lib/security

Y guardar dentro el archivo “pam_ironchip_auth.so” que podremos encontrar en el apartado de plugins en el panel de Ironchip.

mv pam_ironchip_auth.so /usr/local/lib/security/

El último paso será ir a la siguiente ubicación:

/etc/pam.d

Abrir con un editor de texto uno de estos archivos dependiendo de las necesidades de la compañía, estos archivos cambiaran dependiendo de la arquitectura del sistema:

  • sudo: autenticación él en comando sudo.
  • sshd: autenticación en el servicio ssh.
  • gdm-password: autenticación al iniciar sesión en el equipo.
  • comon-auth: autenticación en todos los servicios anteriores.

Y añadir el siguiente código con los datos necesarios:

auth required <<ruta absoluta del archivo pam_ironchip_auth.so>> host=https://api.ironchip.com api_key=<<se encuentra en el archivo descargado>>

 

Configuracion de ssh con clave publica

1.- Edición del Archivo sshd_config

Abre el archivo de configuración principal de SSH con privilegios de administrador:

sudo nano /etc/ssh/sshd_config

Localiza y ajusta (o añade al final del archivo) los siguientes parámetros:

# Habilitar llaves y desactivar contraseñas simples
PubkeyAuthentication yes
PasswordAuthentication no

# Forzar AMBOS: Llave pública + Ironchip (keyboard-interactive)
AuthenticationMethods publickey,keyboard-interactive

# Configuración necesaria para que PAM (Ironchip) funcione
UsePAM yes
KbdInteractiveAuthentication yes   # Ubuntu/Debian modernos

Cuando el sistema de linux sea diferente a Ubuntu/Debian tendremos que añadir la siguiente configuracion:

ChallengeResponseAuthentication yes

4.- Autenticación en ssh sin contraseña

Para que el servidor SSH reconozca a Ironchip como el método de autenticación interactiva (keyboard-interactive), es necesario modificar la configuración de PAM. Este paso permite que el sistema valide la identidad a través de Ironchip sin requerir adicionalmente la contraseña tradicional de Linux.

Abre el archivo que gestiona la autenticación del servicio SSH

sudo nano /etc/pam.d/sshd

Añade la siguiente línea al principio del archivo para asegurar que sea el primer método evaluado en la fase interactiva

auth sufficient pam_ironchip_auth.so host=https://api.ironchip.com api_key=<TU_API_KEY_AQUÍ>

5.- Excluir regla firewall

Para que el servidor pueda validar la identidad, debe realizar peticiones salientes hacia api.ironchip.com. En sistemas con SELinux habilitado (como RHEL, AlmaLinux o CentOS), el servicio SSH tiene restringido el acceso a la red por defecto, lo que bloquearía la comunicación con Ironchip

Debes importar el módulo de política específico que permite al proceso de SSH establecer conexiones de red:

semodule -i mi-sshdsession.p

6.- Aplicar Cambios

Después de guardar los archivos, reinicia el servicio SSH para aplicar la configuración:

# Sistemas con systemd (Ubuntu, Debian, RHEL 7+)

sudo systemctl restart sshd

# Verificar el estado del servicio

sudo systemctl status sshd