ログイン時のSSHの第2要素の選択
複数の2FA PAMをセットアップして、ユーザーにログイン時に使用する選択肢を提供することは可能ですか?
私が持っています google-authenticator セットアップ。ユビコキーを2つ目の要素としてうまく使っています。ログイン時にどちらを使用するかを選択して、より便利なものを使用するか、バックアップ方法として使用するかを選択したいと思います。
私の知る限り、ログイン時にコマンドラインプロンプトからログインに使用するMFAをユーザーが選択できる標準/方法はありません。 (しかし、いつでも独自のPAMモジュールを作成してそうすることができます...#CurrentTeamはそれをパブリックドメインにリリースしましたが、リリースしませんでした。)
エンドユーザーにとって最も透過的ではありませんが、ストックツールで実行できることは、 PAMチェーン を使用してフォールバックメソッドを構成することです。
YubicoPAMモジュールをsufficientに設定すると、有効なワンタイムパスワード(OTP)を渡すと、アクセスが許可されます。
入力した内容が正しいYubikeyOTPとして検証されない場合、認証は次に許可されるメソッドであるGoogle-AuthenticatorPAMモジュールにフォールスルーします。
そのPAMモジュールはrequiredに設定する必要があります。
その後、有効なYubibey OTPの入力に失敗した後に有効なGoogle認証システムコードを入力すると、アクセスが許可されます。それ以外の場合は、認証が拒否されます。
これは、以下を追加することと多少似ているはずです。
auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so