Dovecot / Postfix / SSH / PAMの2要素認証
PAMをサポートする2要素認証モジュールの種類があるかどうか疑問に思います。私のdovecot(PAM)、postfix(SASL)、opensshは、PAMを介してシステムユーザーに認証します。おそらくyubikey、Google認証システムなどを介して、2要素認証を実行してもらいたいと思います。また、私のメールクライアントはそれをどのように処理しますか?
実際には、PAMでサポートされている適切な認証プロトコル、保護するサービス、および最も多数の2要素認証サーバーを選択する必要があります。
半径がその答えです。
すべての主要な2要素認証システムはradiusをサポートしています。 RADIUSは、pam-radiusプラグインを介してPAMでサポートされます。 Radiusを使用すると、freeradius(またはADのNPS)を介してリクエストをプロキシすることもできます。これにより、ディレクトリに対して認証を実行できます。 (ユーザーを無効にする場所が1つあることを意味します。)
役立つチュートリアルがいくつかあります。pam-radiusに関するカップル: https://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to & https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-pam-radius-in-ubunt
そしてこれは、saslなどをカバーするWebメールに2要素認証を追加することに関するものです。 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail- for-wikid-strong-authentication
電子メールクライアントは、起動するたびに、またはセッションごとにOTPの入力を求められます。
Pam-tacacsとpam-ldapは他のオプションですが、IMOはより難しく、柔軟性が低くなります。
Google Authenticator PAMモジュールがあります。 手順はこちら 。メールでどのように機能するかわかりません。