Estamos usando o FreeRadius, o Kerberos e o Google Authenticator para implementar a autenticação de dois fatores. A autenticação de dois fatores funciona bem, tanto a partir do radtest quanto de um firewall do Watchguard. Para fazer login, um usuário digita a senha do Kerberos e concatena o PIN fornecido pelo Google Authenticator. O Radius usa o pam para falar com o GAuth e depois com o Kerberos. A pilha de pam é
/etc/pam.d/radiusd
auth requisite pam_google_authenticator.so forward_pass
auth required pam_krb5.so use_first_pass
A diretiva forward_pass informa ao pam_google_authenticator.so para retirar os seis caracteres, validá-los e passar a string restante para a próxima etapa como senha.
O problema surge quando uma diretiva Kerberos expira uma senha, exigindo uma redefinição (ou + needchange é definido no principal). Quando isso ocorre, o usuário não é notificado. Eles inserem suas senhas e marcam como normais e podem entrar. Algo no plano de fundo atualiza a senha do Kerberos para ser a senha antiga mais o pino anexado (por exemplo, mypasswrd123456). Eu verifiquei que essa nova senha existe no banco de dados Kerberos e pode ser usada para outras autenticações, mas é claro que você precisa perceber que a mudança ocorreu e salvar a string combinada. Não é provável que aconteça em produção.
Eu não consegui localizar o que está fazendo a alteração. A única mensagem de log é um reconhecimento de que a senha foi atualizada. Parece que o Kerberos deve estar alertando o Radius que uma mudança é necessária, Radius vê que tem uma senha nova e a repassa.
Eu tentei adicionar
password required deny.so
para /etc/pam.d/radiusd, mas isso não ajudou.
OS é Ubuntu e os pacotes foram instalados com o apt-get.
Quaisquer pensamentos apreciados.