Mit Google Authentifizierung für einen bestimmten Benutzer zum Root (su -) springen

493
raisam

In meinen Testservern (mit Debian oder Centos) muss ich in der Lage sein, mit google-Authentifizierung nur einmal Benutzer zu root zu wechseln. um das problem zu verstehen, zum beispiel auf dem server habe ich zwei benutzer bob -> su verwendet - oder su root verwendet google authentifizierung (weiß nicht und kann root-kennwort nicht kennen) alice -> su - oder su root verwenden normal root Passwort, weil er sie kennt. Ich weiß nicht, ob ich es richtig verstehe, ich versuche, es zu [root@proxy ~]# nano /etc/pam.d/su Zeilen darüber hinzuzufügen :

#%PAM-1.0 #auth required pam_google_authenticator.so nullok use_uid user = bob #auth required pam_google_authenticator.so use_uid user = bob auth required pam_google_authenticator.so 

aber nichts von Bedingungen user = bobfunktionierte nicht. Nur die standardmäßige "globale" Zeile funktioniert gut ... Ich habe es mit vielen Anleitungen aus dem Web getestet, aber es funktioniert immer noch nicht. Ich habe keine Ideen, wie ich dieses Problem lösen kann.

Ich bitte um Anleitung, um dies zu verstehen. Vielen Dank!

0
(1) Sie haben einen männlichen Mitarbeiter namens Alice? Interessant. (2) Sie erhalten möglicherweise bessere Ergebnisse, wenn Sie klarer und deutlicher erklären, was Sie wollen. Stellen Sie sich vor, Sie versuchen es einem neunjährigen Mann zu erklären. Was genau meinen Sie mit "Google-Authentifizierung"? Möchten Sie, dass "bob" Superbenutzer wird, indem Sie "su-" oder "su root" * und ** kein Kennwort ** eingeben? * Welches Kennwort möchten Sie (oder sie?) Eingeben? (3) Warum verwenden Sie nicht "sudo"? Scott vor 6 Jahren 1
Entschuldigung für mein schlechtes Englisch. Ofc, ich meine ** Google Authenticator ** zur Verwendung mit pam.d Service nur für einen Benutzer, nachdem Sie den Befehl su - oder su root verwendet haben. Du hast recht, weil bob kein Passwort für su hat, muss er zeitbasierte Codes (Auth-Codes) haben. raisam vor 6 Jahren 0
Wenn Bob su -oder su root eingibt, möchte ich, dass es so aussieht: `` `[bob @ proxy ~] # su - $ Prüfcode:` `` aber alice verwendet das normale Passwort `` `[alice @ Proxy ~] # su - $ Passwort: `` ` raisam vor 6 Jahren 0

1 Antwort auf die Frage

0
Stefan

Sie können pam_succeed_if verwenden, um die Prüfung als Bob in zu überspringen /etc/pam.d/su, z

auth [success=2 default=ignore] pam_succeed_if.so use_uid user in bob auth sufficient pam_unix.so auth requisite pam_deny.so auth sufficient pam_google_authenticator.so auth requisite pam_deny.so