Lösung 1:
Sie könnten dies wahrscheinlich mit dem pam_listfile
erledigen Modul. Erstellen Sie eine /etc/pam.d/sshd
Datei, die in etwa so aussieht:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
Dies würde nur Personen erlauben, die in /etc/authusers
aufgelistet sind die Möglichkeit, sich mit einem Zwei-Faktor-Modul (in unserem Fall SecureID) zu authentifizieren. Ich habe diese Konfiguration nicht wirklich getestet, aber die Theorie ist solide.
Sie könnten es einfacher machen, indem Sie jeden zulassen sich mit Zwei-Faktor-Authentifizierung zu authentifizieren; Vermutlich wären nur die Leute mit den entsprechenden Geräten/Konfigurationen in der Lage, erfolgreich zu sein, sodass Sie effektiv das gleiche Verhalten erhalten würden.
Lösung 2:
Um die Zwei-Faktor-Authentifizierung für Benutzer ohne Google Authenticator zu deaktivieren konfiguriert ist, fügen Sie die nullok
hinzu Option in /etc/pam.d/sshd
:
auth required pam_google_authenticator.so nullok
Weitere Einzelheiten finden Sie unter:https://github.com/google/google-authenticator-libpam#setting-up-a-user
Lösung 3:
Mit der folgenden Lösung kann das PAM-Modul (Google Authenticator) für bestimmte Benutzer deaktiviert werden-
1) Erstellen Sie eine Benutzergruppe auf der Linux-Instanz. MFA/PAM wird für Benutzer in dieser neuen Gruppe deaktiviert-
sudo groupadd <groupname>
2) Erstellen Sie einen Benutzer oder fügen Sie einen vorhandenen Benutzer einer neu erstellten Gruppe hinzu-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Bearbeiten Sie die Datei /etc/pam.d/sshd und fügen Sie die folgende Anweisung hinzu, um das PAM-Modul für die neu erstellte Gruppe zu überspringen-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Optional-
Wenn für diese neue Gruppe Vollzugriff erforderlich ist, fügen Sie die folgende Zeile zur Visudo-Datei hinzu-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Wenn ein Benutzer erstellt und der neuen Gruppe hinzugefügt wird, wird MFA für diese Benutzer übersprungen.
Referenziert von -TechManyu Blog