Google Auth с Lightdm
Я пытаюсь настроить google-аутентификацию на хосте Xubuntu через lightdm. Я только хочу использовать OTP-код для входа в систему (то есть пользователь не вводит пароль, только свой код авторизации Google).
Я изменил /etc/pam.d/lightdm-greeter, добавив строку для использования Google authenticator. Сначала я пропустил 'use_first_pass', а потом добавил его. После каждого редактирования я делал перезагрузку на машине, чтобы убедиться, что стек пам был настроен правильно.
#%PAM-1.0
auth required pam_permit.so
auth optional pam_gnome_keyring.so
auth optional pam_kwallet.so
auth optional pam_kwallet5.so
auth sufficient pam_google_authenticator.so use_first_pass
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
session optional pam_kwallet.so auto_start
session optional pam_kwallet5.so auto_start
session required pam_env.so readenv=1
session required pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale
(я также заполнил ключи для нескольких учетных записей)
Но в обоих случаях, когда я набираю код авторизации Google в приглашении пароля приветствующего, он просто сообщает о неверном пароле ( поскольку модуль google просто «достаточен», я все равно могу войти в систему, используя пароль).
Модуль googleauth pam ничего не сообщает ни в системном журнале, ни в auth.log при запуске, ни при аутентификации.
Как получить от Google аутентификацию для аутентификации кода, представленного в виде пароля?
Обновление
Я добавил ту же запись в /etc/pam.d/ Lightdm и теперь получить ...
Aug 28 18:28:44 ubuntu-jumpbox lightdm(pam_google_authenticator)[901]: Invalid verification code for administrator
Оставляя в стороне вопрос о том, почему в /etc/pam.d есть 2 отдельных файла, я все еще не достиг своей цели.
(да, у меня есть правильная настройка кода на моем мобильном устройстве, и часы на мобильном и на хосте синхронизированы).
1 ответ
После экспериментирования с различными приложениями аутентификатора по моему телефону (ни один из которого seemd позволить мне видеть код просканировал от QR-кода, включая собственный Google) я затем изменил "use_first_pass" на "try_first_pass" в/etc/pam.d/lightdm. Это работало. Yay!