Restringir a autenticação bidirecional de SSH e Apache a redes não locais

2

Estou usando o módulo PAM de código aberto do Google para autenticação bidirecional para logins SSH e determinadas diretivas do Apache. Ele funciona muito bem, no entanto, eu gostaria de usá-lo apenas ao tentar fazer o login de uma rede externa, recorrendo apenas ao nome de usuário / senha básico dentro da rede. Basicamente, na lista branca de uma rede. Como posso fazer isso? Eu não consigo encontrar uma resposta ...

    
por Ryan 02.04.2013 / 19:35

1 resposta

1

Não se parece com o módulo pam (supondo que você quer dizer o módulo "google authenticator" que eles introduzem para autenticação de dois fatores) tem alguma opção para suportar isso nativamente, então você provavelmente terá que navegar com os sinalizadores de controle de pilha pam .

Uma possibilidade seria:

  1. Ter o pam_access na pilha configurado como "suficiente" (para que o sucesso impeça que o PAM seja executado posteriormente, mas a falha não)
  2. Configure o pam_access para sempre retornar o sucesso para os usuários da rede local
  3. Coloque o módulo google authenticator após a linha pam_access.

O efeito líquido deve ser (eu não testei) que a execução do módulo google authenticator está condicionada ao pam_access dizendo que eles não são locais (ou seja, falhando). Deve funcionar, pois a página man do pam_access diz que o recurso "auth" é fornecido no módulo.

Deixe-me saber os resultados.

    
por 02.04.2013 / 20:33