После включения аутентификатора Google (2 аутентификации шага) на одном из моих серверов тестирования рабочая человечность 16.04 (LTS), я заметил, что не мог больше входить в систему с пользователем, у которого нет профиля аутентификатора Google на сервере. Я должен был создать профиль аутентификатора Google (ключ), чтобы позволить этому пользователю войти в систему.
Мой вопрос теперь: было бы возможно сделать, чтобы определенные пользователи использовали аутентификатор Google и других пользователей просто вход в систему SSH без аутентификатора Google.
Деталь:
user1 имеет профиль с аутентификатором Google.
user2 не имеет профиля с аутентификатором Google.
user1 входит в систему через SSH, заполняет его пароль, и код обеспечивают приложением аутентификатора Google, он может войти в систему.
user2 входит в систему через SSH, заполняет его пароль и может войти в систему (он не должен вводить код.
Это было бы идеально, чтобы иметь 2 тех групп пользователей, которым нужны код аутентификатора Google и тот, которому не нужен он.
Это могло бы помочь: Отключают модуль PAM для группы .
, Вы могли разместить одного пользователя в google-authenticator
группа и другой пользователь в non-google-authenticator
группа.
Я не попробовал, но , readme говорит, что просто можно добавить" nullok" опция:
auth required pam_google_authenticator.so nullok
Используя ниже решения, Модуль PAM (аутентификатор Google) может быть, отключают для определенных пользователей -
1) Создайте группу пользователей на экземпляре Linux. MFA/PAM будет отключено для пользователей, присутствующих в этой новой группе -
sudo groupadd <groupname>
2) Создайте Пользователя или добавьте существующего пользователя к недавно созданной группе -
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Отредактируйте/etc/pam.d/sshd файл и добавьте ниже оператора для пропуска модуля PAM для недавно созданной группы -
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Дополнительный -
Если полный доступ требуется для этой новой группы, затем добавляют ниже строки к visudo файлу -
%<groupname>ALL=(ALL) NOPASSWD: ALL
Когда пользователь будет создан и добавлен к новой группе, MFA будет пропущено для тех пользователей.
Ссылаемый от - блог TechManyu