web-dev-qa-db-fra.com

google authentifiant pour certains utilisateurs

Après avoir activé Google Authenticator (authentification en 2 étapes) sur l'un de mes serveurs de test exécutant Ubuntu 16.04 (LTS), j'ai constaté que je ne pouvais plus me connecter avec un utilisateur qui ne possède pas de profil Google Authenticator sur le serveur. Je devais créer un profil Google Authenticator (clé) pour permettre à cet utilisateur de se connecter.

Ma question est la suivante: serait-il possible que certains utilisateurs utilisent Google Authenticator et que d'autres utilisateurs se connectent simplement via SSH sans l'authentificateur Google?.

Détail:

user1 a un profil avec google authentifiant.

user2 n'a pas de profil avec google authentifiant.

utilisateur1 se connecte via SSH, renseigne son mot de passe et le code fourni par l'application d'authentification Google, il est capable de se connecter.

user2 se connecte via SSH, renseigne son mot de passe et peut se connecter (il n'a pas besoin de saisir de code).

L'idéal serait d'avoir 2 groupes d'utilisateurs, l'un ayant besoin du code de l'authentificateur Google et l'autre qui n'en a pas besoin.

sshauthenticationgooglepamtwo-factor-authentication
3
user1116942

En utilisant la solution ci-dessous, PAM Module (Google Authenticator) peut être désactivé pour des utilisateurs spécifiques.

1) Créez un groupe d'utilisateurs sur l'instance Linux. MFA/PAM sera désactivé pour les utilisateurs présents dans ce nouveau groupe-

Sudo groupadd <groupname>

2) Créer un utilisateur ou ajouter un utilisateur existant au groupe nouvellement créé

Sudo useradd <username>
Sudo usermod -a -G <groupname> <username>

3) Éditez le fichier /etc/pam.d/sshd et ajoutez l’instruction ci-dessous pour ignorer le module PAM pour le groupe nouvellement créé.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optionnel-

Si un accès complet est requis pour ce nouveau groupe, ajoutez la ligne ci-dessous à visudo file-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Lorsqu'un utilisateur sera créé et ajouté au nouveau groupe, MFA sera ignoré pour ces utilisateurs.

Référencé par - TechManyu Blog

4
Abhimanyu Garg

Cela pourrait aider: Désactiver le module PAM pour le groupe .

Vous pouvez placer un utilisateur dans un groupe google-authenticator et l'autre utilisateur dans un groupe non-google-authenticator.

2
Z3r0byte

Je n'ai pas essayé, mais readme dit que vous pouvez simplement ajouter l'option " nullok ":

auth required pam_google_authenticator.so nullok
1
e_g1gor