Google аутентификатор для определенных пользователей
После включения аутентификатора Google (двухэтапная аутентификация) на одном из моих тестирующих серверов, работающих под управлением Ubuntu 16.04 (LTS), я заметил, что больше не могу войти в систему с пользователем, у которого нет профиля аутентификатора Google на сервере. Мне пришлось создать профиль (ключ) аутентификатора Google, чтобы позволить этому пользователю войти в систему.
Мой вопрос сейчас таков: возможно ли, чтобы некоторые пользователи использовали аутентификатор Google, а другие пользователи просто входили в SSH без аутентификатора Google.
Деталь:
У пользователя user1 есть профиль с аутентификатором Google.
У пользователя user2 нет профиля с аутентификатором Google.
user1 входит в систему через SSH, вводит свой пароль и код, предоставленный приложением для аутентификации Google, он может войти в систему.
user2 входит в систему через SSH, вводит свой пароль и может войти (ему не нужно вводить код).
Было бы идеально иметь 2 группы пользователей, одна из которых нуждается в коде аутентификатора Google, а другая - не нужна.
3 ответа
Используя приведенное ниже решение, модуль PAM (google authenticator) можно отключить для определенных пользователей.
1) Создайте группу пользователей на экземпляре Linux. MFA/PAM будет отключен для пользователей, присутствующих в этой новой группе.
sudo groupadd <groupname>
2) Создать пользователя или добавить существующего пользователя во вновь созданную группу.
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Отредактируйте файл /etc/pam.d/sshd и добавьте следующую инструкцию, чтобы пропустить модуль PAM для вновь созданной группы.
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Необязательный-
Если для этой новой группы требуется полный доступ, добавьте строку ниже в файл visudo-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Когда пользователь будет создан и добавлен в новую группу, MFA будет пропущен для этих пользователей.
Ссылка от - TechManyu Блог
Это может помочь: Отключить модуль PAM для группы.
Вы можете поместить одного пользователя в google-authenticator
группа и другой пользователь в non-google-authenticator
группа.