Jee*_*dee 5 radius freeradius two-factor-authentication
我的任务是设置 freeRADIUS 以提示用户输入他们的第二个身份验证因素(例如 Google Authenticator OTP),但没有先检查用户的密码。
我完全盲目地进入了这个领域,之前没有 RADIUS 经验。我们有一个提示用户登录的 web 应用程序,因此密码身份验证已经完成。然后,我们需要提示用户输入第二个身份验证因素以执行某些操作。我们不想反复要求用户输入他们的密码(并且在本地缓存它显然是一个禁忌)所以我们想要做的是以某种方式配置 freeRADIUS,以便它:
这甚至可行吗?就像我说的,我之前没有任何 RADIUS 经验,所以如果这是一个愚蠢的问题,我深表歉意。
我自己想出了这个办法。如果有人感兴趣的话,这与/etc/pam.d/radiusd中的配置有关
首先,按照以下教程之一将 Google 身份验证器设置为 freeRADIUS 服务器上的第二个因素:
https://networkjutsu.com/freeradius-google-authenticator/
https://www.supertechguy.com/help/security/freeradius -谷歌认证/
当需要更改 /etc/pam.d/radiusd 时,请使用以下配置之一:
提示输入密码和 Google Auth OTP:
身份验证必需 pam_google_authenticator.soforward_pass
需要身份验证 pam_unix.so 需要 use_first_pass
帐户 pam_unix.so
需要审核帐户 pam_permit.so
要提示仅输入 Google Auth OTP(即无密码):
需要身份验证 pam_google_authenticator.so
需要帐户 pam_unix.so
需要审核帐户 pam_permit.so
请注意,这不会发送质询响应 - 它只是意味着不需要首先输入密码。
| 归档时间: |
|
| 查看次数: |
2420 次 |
| 最近记录: |