Linux

SSH登錄時選擇第二個因素

  • April 26, 2019

是否可以設置多個 2FA pam 並讓使用者選擇在登錄時使用哪個?

我有google-authenticator設置。我已經成功地使用了我的 yubiko 密鑰作為第二個因素。我想選擇在登錄時使用哪個,這樣我就可以選擇更方便的方法,或者使用一種作為備份方法。

據我所知,沒有標準/方法允許使用者在登錄期間從命令行提示符選擇他們想要使用哪個 MFA 登錄。(但您始終可以編寫自己的 PAM 模組來執行此操作……#CurrentTeam 做了但沒有將其發佈到公共領域。)

對於最終使用者來說不是最透明的,但是您可以使用庫存工具做的事情是使用PAM 連結來配置回退方法。

將 Yubico PAM 模組設置為sufficient,當您通過有效的一次性密碼 (OTP) 時,您將被授予訪問權限。

當您輸入的內容未驗證為正確的 Yubikey OTP 時,身份驗證將通過下一個允許的方法,即 Google-Authenticator PAM 模組。

該 PAM 模組應設置為required.

如果您在未能輸入有效的 Yubibey OTP 後輸入有效的 Google 身份驗證器程式碼,您將被授予訪問權限,否則,您的身份驗證將被拒絕。

這應該有點類似於添加以下內容:

auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so

引用自:https://serverfault.com/questions/964680