Двухфакторная аутентификация на сервере ssh с аутентификацией Google
Я выполнил несколько различных руководств по настройке двухфакторной аутентификации на моем ssh-сервере, используя аутентификатор google libpam-google. Я смог заставить его работать, но когда я пытаюсь войти в систему с моего рабочего стола или любого другого устройства поверх ssh, я должен предоставить ему свой ssh-ключ, пароль пользователя, а затем токен аутентификации. Но в моем файле sshd_config у меня есть:
AuthenticationMethods publickey,keyboard-interactive
ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePAM yes
И в моем /etc/pam.d/sshd я добавил
auth required pam_google_authenticator.so
Поэтому я думаю, что он также не должен запрашивать пароль. Как это исправить?
1 ответ
В принципе @Jakuje прав.
Common-auth содержит строку с pam_unix.so. Я бы создал новый файл /etc/pam.d/google_auth и включил его в ваш /etc/pam.d/sshd вместо common-auth. Таким образом, вы более модулярны.
В основном, google-auth выглядит следующим образом:
# here are the per-package modules (the "Primary" block)
auth [success=1 default=ignore] pam_google_authenticator.so
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config
Таким образом, вы можете включить google-auth в любой сервис, который вам нравится.