Вопросы Теги

аутентификатор Google для определенных пользователей

После включения аутентификатора Google (2 аутентификации шага) на одном из моих серверов тестирования рабочая человечность 16.04 (LTS), я заметил, что не мог больше входить в систему с пользователем, у которого нет профиля аутентификатора Google на сервере. Я должен был создать профиль аутентификатора Google (ключ), чтобы позволить этому пользователю войти в систему.

Мой вопрос теперь: было бы возможно сделать, чтобы определенные пользователи использовали аутентификатор Google и других пользователей просто вход в систему SSH без аутентификатора Google.

Деталь:

user1 имеет профиль с аутентификатором Google.

user2 не имеет профиля с аутентификатором Google.

user1 входит в систему через SSH, заполняет его пароль, и код обеспечивают приложением аутентификатора Google, он может войти в систему.

user2 входит в систему через SSH, заполняет его пароль и может войти в систему (он не должен вводить код.

Это было бы идеально, чтобы иметь 2 тех групп пользователей, которым нужны код аутентификатора Google и тот, которому не нужен он.

3
задан 4 July 2018 в 10:01

3 ответа

Это могло бы помочь: Отключают модуль PAM для группы .

, Вы могли разместить одного пользователя в google-authenticator группа и другой пользователь в non-google-authenticator группа.

2
ответ дан 1 December 2019 в 13:16

Я не попробовал, но , readme говорит, что просто можно добавить" nullok" опция: 

auth required pam_google_authenticator.so nullok
1
ответ дан 1 December 2019 в 13:16

Используя ниже решения, Модуль PAM (аутентификатор Google) может быть, отключают для определенных пользователей -

1) Создайте группу пользователей на экземпляре Linux. MFA/PAM будет отключено для пользователей, присутствующих в этой новой группе -

sudo groupadd <groupname>

2) Создайте Пользователя или добавьте существующего пользователя к недавно созданной группе -

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Отредактируйте/etc/pam.d/sshd файл и добавьте ниже оператора для пропуска модуля PAM для недавно созданной группы -

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Дополнительный -

Если полный доступ требуется для этой новой группы, затем добавляют ниже строки к visudo файлу -

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Когда пользователь будет создан и добавлен к новой группе, MFA будет пропущено для тех пользователей.

Ссылаемый от - блог TechManyu

5
ответ дан 1 December 2019 в 13:16

Другие вопросы по тегам:

Похожие вопросы: