我想将Google 的身份验证器应用程序添加到我们的 SSH 身份验证工具链中,如本文所述
但是,似乎 PAM 模块基本上在“linux 用户”和“身份验证用户”之间建立了硬链接。这给我们带来了以下两个问题:
在标准 SSH 方法中,任何真人的密钥都可以添加到任何给定的 linux 用户的 authorized_keys 中,这些问题不适用。如何在 Google-pam 设置中创建等效项?
共享帐户不适用于 2 因素身份验证,因为 2fa 通常存在以证明用户就是他们所说的那样。您应该使用角色或用户切换来代替共享帐户:某人使用自己的凭据作为自己的帐户进行连接,然后执行sudo操作以成为共享帐户。这有多种好处,包括大大改进的审计功能。
我不相信你可以让 PAM 以你想要的方式工作而不创建你提供给所有用户的共享秘密——即使这样,当人们因令牌重用而被锁定时你也会遇到麻烦(例如 userA 连接和使用令牌 555555,然后 userB 同时连接并尝试使用相同的令牌 555555,失败,因为它已经被使用过一次)。我相信您可以允许在股票谷歌身份验证器中重复使用令牌,但这基本上否定了“OTP”的整个“一次性”部分。
| 归档时间: |
|
| 查看次数: |
1632 次 |
| 最近记录: |