GNU/Linux >> LINUX-Kenntnisse >  >> Linux

sshd:So aktivieren Sie die PAM-Authentifizierung für bestimmte Benutzer unter

Lösung 1:

Sie könnten dies wahrscheinlich mit dem pam_listfile erledigen Modul. Erstellen Sie eine /etc/pam.d/sshd Datei, die in etwa so aussieht:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Dies würde nur Personen erlauben, die in /etc/authusers aufgelistet sind die Möglichkeit, sich mit einem Zwei-Faktor-Modul (in unserem Fall SecureID) zu authentifizieren. Ich habe diese Konfiguration nicht wirklich getestet, aber die Theorie ist solide.

Sie könnten es einfacher machen, indem Sie jeden zulassen sich mit Zwei-Faktor-Authentifizierung zu authentifizieren; Vermutlich wären nur die Leute mit den entsprechenden Geräten/Konfigurationen in der Lage, erfolgreich zu sein, sodass Sie effektiv das gleiche Verhalten erhalten würden.

Lösung 2:

Um die Zwei-Faktor-Authentifizierung für Benutzer ohne Google Authenticator zu deaktivieren konfiguriert ist, fügen Sie die nullok hinzu Option in /etc/pam.d/sshd :

auth   required   pam_google_authenticator.so nullok

Weitere Einzelheiten finden Sie unter:https://github.com/google/google-authenticator-libpam#setting-up-a-user

Lösung 3:

Mit der folgenden Lösung kann das PAM-Modul (Google Authenticator) für bestimmte Benutzer deaktiviert werden-

1) Erstellen Sie eine Benutzergruppe auf der Linux-Instanz. MFA/PAM wird für Benutzer in dieser neuen Gruppe deaktiviert-

sudo groupadd <groupname>

2) Erstellen Sie einen Benutzer oder fügen Sie einen vorhandenen Benutzer einer neu erstellten Gruppe hinzu-

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Bearbeiten Sie die Datei /etc/pam.d/sshd und fügen Sie die folgende Anweisung hinzu, um das PAM-Modul für die neu erstellte Gruppe zu überspringen-

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optional-

Wenn für diese neue Gruppe Vollzugriff erforderlich ist, fügen Sie die folgende Zeile zur Visudo-Datei hinzu-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Wenn ein Benutzer erstellt und der neuen Gruppe hinzugefügt wird, wird MFA für diese Benutzer übersprungen.

Referenziert von -TechManyu Blog


Linux
  1. So erstellen Sie ein freigegebenes Verzeichnis für alle Benutzer in Linux

  2. So richten Sie SPF für zusätzliche E-Mail-Authentifizierung ein

  3. CentOS / RHEL 7 :So aktivieren Sie Telnet für eine Gruppe von Benutzern

  4. CentOS / RHEL :So legen Sie das Chroot-Gefängnis für vsftp nur für bestimmte Benutzer fest

  5. So deaktivieren Sie einen bestimmten Befehl für einen bestimmten Benutzer in Linux

Deaktivieren Sie die SSH-Passwortauthentifizierung für bestimmte Benutzer oder Gruppen

So richten Sie die Multi-Faktor-Authentifizierung für SSH unter Linux ein

So aktivieren Sie passwortloses Sudo für Benutzer in Linux

So aktivieren Sie den Conda-Forge-Kanal für den Conda-Paket-Manager

Zwei-Faktor-Authentifizierung:Wie in cPanel aktivieren?

Wie aktiviere ich die Klartext-Authentifizierung in Dovecot?