Google аутентификатор для определенных пользователей

Question

Google аутентификатор для определенных пользователей

После включения аутентификатора Google (двухэтапная аутентификация) на одном из моих тестирующих серверов, работающих под управлением Ubuntu 16.04 (LTS), я заметил, что больше не могу войти в систему с пользователем, у которого нет профиля аутентификатора Google на сервере. Мне пришлось создать профиль (ключ) аутентификатора Google, чтобы позволить этому пользователю войти в систему.

Мой вопрос сейчас таков: возможно ли, чтобы некоторые пользователи использовали аутентификатор Google, а другие пользователи просто входили в SSH без аутентификатора Google.

Деталь:

У пользователя user1 есть профиль с аутентификатором Google.

У пользователя user2 нет профиля с аутентификатором Google.

user1 входит в систему через SSH, вводит свой пароль и код, предоставленный приложением для аутентификации Google, он может войти в систему.

user2 входит в систему через SSH, вводит свой пароль и может войти (ему не нужно вводить код).

Было бы идеально иметь 2 группы пользователей, одна из которых нуждается в коде аутентификатора Google, а другая - не нужна.

5

ssh authentication google pam two-factor-authentication

Источник

user1116942 31 авг '16 в 11:38

3 ответа

Другие вопросы по тегам ssh authentication google pam two-factor-authentication

Abhimanyu Garg 04 июл '18 в 00:39 2018-07-04 00:39 · Answer 1 · 2018-07-04 00:39

Используя приведенное ниже решение, модуль PAM (google authenticator) можно отключить для определенных пользователей.

1) Создайте группу пользователей на экземпляре Linux. MFA/PAM будет отключен для пользователей, присутствующих в этой новой группе.

sudo groupadd <groupname>

2) Создать пользователя или добавить существующего пользователя во вновь созданную группу.

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Отредактируйте файл /etc/pam.d/sshd и добавьте следующую инструкцию, чтобы пропустить модуль PAM для вновь созданной группы.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Необязательный-

Если для этой новой группы требуется полный доступ, добавьте строку ниже в файл visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Когда пользователь будет создан и добавлен в новую группу, MFA будет пропущен для этих пользователей.

Ссылка от - TechManyu Блог

Z3r0byte 27 дек '16 в 18:55 2016-12-27 18:55 · Answer 2 · 2016-12-27 18:55

Это может помочь: Отключить модуль PAM для группы.

Вы можете поместить одного пользователя в google-authenticator группа и другой пользователь в non-google-authenticator группа.

2

Источник

Z3r0byte 27 дек '16 в 18:55

e_g1gor 06 мар '19 в 08:06 2019-03-06 08:06 · Answer 3 · 2019-03-06 08:06

Я не пробовал, но readme говорит, что вы можете просто добавить опцию " nullok ":

auth required pam_google_authenticator.so nullok

1

Источник

e_g1gor 06 мар '19 в 08:06