Minha configuração atual do PAM do sshd:
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
Estou adicionando o Google Authenticator, mas não estamos prontos para implantá-lo para todos os usuários.
Eu acredito que o seguinte deve exigir o Google Authenticator PAM para usuários no grupo 'gauth', mas esperava que alguém pudesse verificar meu trabalho antes de eu sair do SSH ...
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
auth [success=1 default=ignore] pam_succeed_if.so quiet user notingroup gauth
auth required pam_google_authenticator.so
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
Estou entendendo corretamente que "success = 1" significa "pule a próxima linha se isso for bem-sucedido"?
Acredito que sua compreensão esteja correta, com base no documentação do pam .
Você deve ser capaz de fazer as alterações, testar e reverter, se necessário, se abrir outra conexão para testar, deixando a sessão ssh original conectada (certifique-se de que ela não tenha tempo limite!)
Ao brincar com a pilha do PAM eu geralmente não uso o serviço, que de fato quero modificar, já que este é um serviço "produtivo".
Portanto, neste caso eu testaria com /etc/pam.d/login em vez de ssh . login pode ser testado simplesmente chamando:
login
Se a configuração do PAM parece boa, posso transferi-la para gdm , ssh ou qualquer outra coisa. (Quem precisa de um login local; -)
E sim, sucesso = n significa, em caso de sucesso, pular as próximas linhas n .