是否可以有多个 2FA pam 设置并让用户选择在登录时使用哪个?
我有google-authenticator设置。我已经成功地使用了我的 yubiko 密钥作为第二个因素。我希望可以选择在登录时使用哪个,以便我可以选择更方便的方法或将其用作备份方法。
据我所知,没有标准/方法允许用户在登录期间从命令行提示符选择他们想要使用的 MFA 登录。(但你总是可以编写自己的 PAM 模块来这样做......#CurrentTeam 做了但没有将其发布到公共领域。)
对于最终用户来说,这不是最透明的,但是您可以使用库存工具做的事情是使用PAM 链接来配置回退方法。
设置 Yubico PAM 模块sufficient,当您传递有效的一次性密码 (OTP) 时,您将被授予访问权限。
当您输入的内容未验证为正确的 Yubikey OTP 时,身份验证将通过下一个允许的方法,即 Google-Authenticator PAM 模块。
该 PAM 模块应设置为required.
如果您在输入有效的 Yubibey OTP 失败后输入有效的 Google 身份验证器代码,您将被授予访问权限,否则,您的身份验证将被拒绝。
这应该有点类似于添加以下内容:
auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so
| 归档时间: |
|
| 查看次数: |
213 次 |
| 最近记录: |