it-swarm.com.de

Google Authenticator für bestimmte Benutzer

Nachdem ich den Google-Authentifikator (2-Stufen-Authentifizierung) auf einem meiner Testserver mit Ubuntu 16.04 (LTS) aktiviert hatte, stellte ich fest, dass ich mich nicht mehr mit einem Benutzer anmelden konnte, der kein Google-Authentifikatorprofil auf dem Server hat. Ich musste ein Google-Authentifizierungsprofil (Schlüssel) erstellen, damit sich dieser Benutzer anmelden konnte.

Meine Frage ist nun: Wäre es möglich, dass bestimmte Benutzer den Google-Authentifikator verwenden und andere Benutzer sich nur über SSH ohne den Google-Authentifikator anmelden?.

Detail:

user1 hat ein Profil mit Google Authenticator.

user2 hat kein Profil mit Google Authenticator.

benutzer1 meldet sich über SSH an, gibt sein Kennwort ein und der Code, der von der Google Authenticator-App bereitgestellt wird, kann sich anmelden.

user2 meldet sich über SSH an, gibt sein Passwort ein und kann sich anmelden (er muss keinen Code eingeben).

Es wäre ideal, zwei Benutzergruppen zu haben, von denen eine den Google-Authentifizierungscode benötigt und eine, die ihn nicht benötigt.

3
user1116942

Mit der folgenden Lösung kann das PAM-Modul (Google Authenticator) für bestimmte Benutzer deaktiviert werden.

1) Erstellen Sie eine Benutzergruppe auf der Linux-Instanz. MFA/PAM wird für Benutzer in dieser neuen Gruppe deaktiviert.

Sudo groupadd <groupname>

2) Benutzer erstellen oder vorhandenen Benutzer zu neu erstellten Gruppen hinzufügen.

Sudo useradd <username>
Sudo usermod -a -G <groupname> <username>

3) Bearbeiten Sie die Datei /etc/pam.d/sshd und fügen Sie die folgende Anweisung hinzu, um das PAM-Modul für die neu erstellte Gruppe zu überspringen.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optional-

Wenn für diese neue Gruppe vollständiger Zugriff erforderlich ist, fügen Sie die folgende Zeile zu visudo file- hinzu.

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Wenn ein Benutzer erstellt und der neuen Gruppe hinzugefügt wird, wird MFA für diese Benutzer übersprungen.

Referenziert von - TechManyu Blog

4
Abhimanyu Garg

Dies könnte helfen: PAM-Modul für Gruppe deaktivieren .

Sie können einen Benutzer in eine google-authenticator Gruppe und den anderen Benutzer in eine non-google-authenticator Gruppe einfügen.

2
Z3r0byte

Ich habe es nicht versucht, aber readme sagt, Sie können einfach die Option " nullok " hinzufügen:

auth required pam_google_authenticator.so nullok
1
e_g1gor