em meus servidores de teste (com debian ou centos) Eu preciso ser capaz de pular de apenas uma vez usuário para root com a autenticação google. para entender o problema, por exemplo, no servidor eu tenho dois usuários bob - > usar su - ou su root usa a autenticação do google (não sabe e não pode saber a senha do root) alice - > usar su - ou su root usando a senha root normal porque ele as conhece. Eu não sei se entendi corretamente, eu tento adicioná-lo a %código% linhas no topo, como:
#%PAM-1.0
#auth required pam_google_authenticator.so nullok use_uid user = bob
#auth required pam_google_authenticator.so use_uid user = bob
auth required pam_google_authenticator.so
mas nada das condições
[root@proxy ~]# nano /etc/pam.d/su
não está funcionando. Apenas a linha padrão "global" funciona bem ... Eu testei com muitos guias da web
mas ainda não funciona. Não tenho ideias de como resolver este problema.
Estou pedindo orientação para entender isso. Obrigado!
Você pode usar pam_succeed_if para pular o cheque como bob em /etc/pam.d/su , por exemplo
auth [success=2 default=ignore] pam_succeed_if.so use_uid user in bob
auth sufficient pam_unix.so
auth requisite pam_deny.so
auth sufficient pam_google_authenticator.so
auth requisite pam_deny.so
Tags pam linux google-authenticator