Linux
SSH登錄時選擇第二個因素
是否可以設置多個 2FA pam 並讓使用者選擇在登錄時使用哪個?
我有
google-authenticator
設置。我已經成功地使用了我的 yubiko 密鑰作為第二個因素。我想選擇在登錄時使用哪個,這樣我就可以選擇更方便的方法,或者使用一種作為備份方法。
據我所知,沒有標準/方法允許使用者在登錄期間從命令行提示符選擇他們想要使用哪個 MFA 登錄。(但您始終可以編寫自己的 PAM 模組來執行此操作……#CurrentTeam 做了但沒有將其發佈到公共領域。)
對於最終使用者來說不是最透明的,但是您可以使用庫存工具做的事情是使用PAM 連結來配置回退方法。
將 Yubico PAM 模組設置為
sufficient
,當您通過有效的一次性密碼 (OTP) 時,您將被授予訪問權限。當您輸入的內容未驗證為正確的 Yubikey OTP 時,身份驗證將通過下一個允許的方法,即 Google-Authenticator PAM 模組。
該 PAM 模組應設置為
required
.如果您在未能輸入有效的 Yubibey OTP 後輸入有效的 Google 身份驗證器程式碼,您將被授予訪問權限,否則,您的身份驗證將被拒絕。
這應該有點類似於添加以下內容:
auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file auth required pam_google_authenticator.so