web-dev-qa-db-ja.com

ログイン時のSSHの第2要素の選択

複数の2FA PAMをセットアップして、ユーザーにログイン時に使用する選択肢を提供することは可能ですか?

私が持っています google-authenticator セットアップ。ユビコキーを2つ目の要素としてうまく使っています。ログイン時にどちらを使用するかを選択して、より便利なものを使用するか、バックアップ方法として使用するかを選択したいと思います。

6
DasPete

私の知る限り、ログイン時にコマンドラインプロンプトからログインに使用するMFAをユーザーが選択できる標準/方法はありません。 (しかし、いつでも独自のPAMモジュールを作成してそうすることができます...#CurrentTeamはそれをパブリックドメインにリリースしましたが、リリースしませんでした。)

エンドユーザーにとって最も透過的ではありませんが、ストックツールで実行できることは、 PAMチェーン を使用してフォールバックメソッドを構成することです。

YubicoPAMモジュールをsufficientに設定すると、有効なワンタイムパスワード(OTP)を渡すと、アクセスが許可されます。

入力した内容が正しいYubikeyOTPとして検証されない場合、認証は次に許可されるメソッドであるGoogle-AuthenticatorPAMモジュールにフォールスルーします。
そのPAMモジュールはrequiredに設定する必要があります。

その後、有効なYubibey OTPの入力に失敗した後に有効なGoogle認証システムコードを入力すると、アクセスが許可されます。それ以外の場合は、認証が拒否されます。

これは、以下を追加することと多少似ているはずです。

auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so
6
HBruijn