Ssh

Dovecot/Postfix/SSH/PAM 的 2 因素身份驗證

  • June 10, 2019

我想知道是否有一些支持 PAM 的 2 因素身份驗證模組。我的 dovecot(PAM)、postfix(SASL) 和 openssh 通過 PAM 對系統使用者進行身份驗證。我想讓它做 2 因素身份驗證,可能通過 yubikey、Google身份驗證器或其他方式。而且,我的郵件客戶端將如何處理?

確實,您希望選擇 PAM 支持的正確身份驗證協議、要保護的服務以及最多數量的雙因素身份驗證伺服器。

半徑就是答案。

所有主要的兩因素身份驗證系統都支持半徑。通過 pam-radius 外掛在 PAM 中支持 Radius。Radius 還允許您通過 freeradius(或 AD 上的 NPS)代理請求,然後可以對您的目錄執行授權。(這意味著您有一個位置可以禁用使用者。)

我們有許多教程應該有所幫助:關於 pam-radius 的一些教程:https ://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to & https:/ /www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-pam-radius-in-ubuntu

而這一篇關於向涵蓋 sasl 等的 webmail 添加兩因素身份驗證。 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-強認證

電子郵件客戶端在每次啟動或每次會話時都會被提示輸入 OTP。

Pam-tacacs 和 pam-ldap 將是其他選擇,但 IMO 更困難且更不靈活。

引用自:https://serverfault.com/questions/428762