google authenticator para determinados usuários

Question

google authenticator para determinados usuários

#1 resposta do Abhimanyu Garg (2 votos)
#2 resposta do Z3r0byte (2 votos)

3

Depois de ativar o autenticador do Google (autenticação em 2 etapas) em um dos servidores de teste que executam o Ubuntu 16.04 (LTS), notei que não conseguia mais fazer login com um usuário que não possui um perfil do Google Authenticator no servidor. Eu tive que criar um perfil do google authenticator (chave) para permitir que esse usuário faça o login.

Minha pergunta agora é: Seria possível fazer com que certos usuários usem o autenticador google e outros usuários apenas o login SSH sem o google authenticator.

Detalhe:

user1 tem um perfil com o google authenticator.

user2 não tem um perfil com o google authenticator.

user1 efetua login por meio do SSH, preenche sua senha e o código é fornecido pelo aplicativo google authenticator, ele pode fazer login.

user2 efetua o login através do SSH, preenche sua senha e é capaz de fazer o login (ele não precisa inserir um código.

Seria ideal ter dois grupos de usuários, um que precise do código do Google Authenticator e um que não precise dele.

por user1116942 31.08.2016 / 13:38

2 respostas

Firefox 48 no Ubuntu 16.04 travando em segundos após ser iniciado Congelamento aleatório após atualização para 16.04

score 2 · Answer 1

Usando a solução abaixo, o Módulo PAM (google authenticator) pode ser desativado para usuários específicos -

1) Crie um grupo de usuários na instância do Linux. O MFA / PAM será desativado para usuários presentes neste novo grupo -

sudo groupadd <groupname>

2) Criar usuário ou adicionar usuário existente ao grupo recém-criado -

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Edite o arquivo /etc/pam.d/sshd e adicione a instrução abaixo para pular o módulo PAM para o grupo recém-criado -

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Opcional -

Se o acesso completo for necessário para este novo grupo, adicione a linha abaixo ao arquivo visudo -

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Quando um usuário for criado e adicionado ao novo grupo, o MFA será ignorado para esses usuários.

Referenciado de Blog do TechManyu

score 2 · Answer 2

Isso pode ajudar: Desabilite o módulo PAM para o grupo .

Você pode colocar um usuário em um grupo google-authenticator e o outro usuário em um grupo non-google-authenticator .