Ich habe kürzlich die Zwei-Faktor-Authentifizierung mit Google-Authenticator auf meinem SSH-Server aktiviert. Jetzt stehe ich jedoch vor einem Problem:
Ich habe eine andere Benutzergruppe auf meinem Server, die ich für SFTP verwende, aber diese Gruppe kann sich nicht mehr anmelden, da 2FA nicht für die Benutzer in der Gruppe eingerichtet ist. Ist es möglich, das Google-Authentifizierungsmodul für diese Gruppe zu deaktivieren? Das Aktivieren für die Benutzer in der Gruppe ist keine Option, da dieses Konto von mehreren Benutzern verwendet wird.
PS: Ich benutze openssh-server
Antworten:
Sie können das
pam_succeed_if
Modul (siehe Handbuchseite) vor dem verwendenpam_google_authenticator
, um diesen Teil für Ihre Gruppe zu überspringen:quelle
[success=1 default=ignore]
statt seinrequired
. Im Moment wird ein Benutzer, der nicht in einer Gruppe ist, dazu führen, dass die Authentifizierung fehlschlägt, denke ich.success=1
Wenn Sie die nächste Methode überspringen,default=ignore
werden Benutzer, die nicht zur Gruppe gehören, einfach zur nächsten Methode weitergeleitet.Einige SFTP-Clients können 2FA verarbeiten. Zum Beispiel verwende ich 2FA mit FileZilla und WinSCP und sie funktionieren. Außerdem habe ich die SSH-Schlüsselauthentifizierung eingerichtet und sie funktioniert neben 2FA.
Ihre Frage ist jedoch interessant und ich habe eine kurze Umfrage gemacht. Ich habe diese Antwort gefunden .
Es ist also möglich (und einfach), separate SSH-Instanzen auszuführen. Ich habe es schon getestet.
Erstellen Sie separate Kopien der
sshd_config
Datei.Bearbeiten Sie diese neuen
config
Dateien. Eines der Dinge, die Sie ändern müssen, ist der shh-Port. Nach dem Beispiel:2.a)
sshd_config_pwd
Spezifische Zeilen sind:2.b)
sshd_config_2fa
Spezifische Zeilen sind:Öffnen Sie die erforderlichen Ports in der Firewall. Nach dem Beispiel:
Führen Sie die neuen ssh-Instanzen aus:
Das ist es.
quelle
sshd_config
, um einen anderen PAM-Stapel zu verwenden und nicht 2FA zu verwenden?