Posso usar o RSA 2-Factor PAM e um Active Directory PAM ao mesmo tempo?

3

Vamos usar o produto anteriormente conhecido como Da mesma forma como um exemplo. Eu posso facilmente instalar isso em uma máquina Linux e juntá-lo a um domínio do Active Directory.

Também posso usar um módulo RSA PAM para que os usuários sejam obrigados a autenticar com um PIN e senha de token de hardware de dois fatores, usando um nome de usuário conhecido pelo servidor de autenticação RSA.

Posso usar esses dois juntos? Em outras palavras, acho que o que estou perguntando é se posso usar dois módulos PAM ao mesmo tempo? (Eu não sou um cara do Linux, então vá com calma comigo.)

    
por Ryan Ries 02.11.2012 / 21:30

1 resposta

3

Com o Linux PAM, você pode encadear os módulos de autenticação. Basta definir todos os módulos PAM necessários para serem verificados em required no arquivo de configuração apropriado.

Da documentação:

When a server invokes one of the six PAM primitives, PAM retrieves the chain for the facility the primitive belongs to, and invokes each of the modules listed in the chain, in the order they are listed, until it reaches the end, or determines that no further processing is necessary (either because a binding or sufficient module succeeded, or because a requisite module failed.) The request is granted if and only if at least one module was invoked, and all non-optional modules succeeded.

Portanto, se todos os métodos de autenticação tiverem êxito, use requisite . No entanto, se o primeiro dos dois métodos auth falhar, ele terminará imediatamente.

Se você quiser ocultar o fato de que um determinado auth-methode falhou, use required . Mesmo se um módulo falhar, ele continuará a verificar outros métodos, apenas para falhar no final.

Se você precisar apenas de um desses métodos para ter sucesso (significa: muitos podem falhar, apenas uma autenticação bem-sucedida é suficiente), use sufficient .

Consulte as Políticas da cadeia de Pam para obter mais detalhes.

    
por 02.11.2012 / 21:49

Tags