Ich teste die Zwei-Faktor-Authentifizierung für ssh-Logins auf einigen CentOS-Containern in unserer Testumgebung.
Ich habe meine eigenen RPMs aus githubs Quelle zusammengestellt, alles installiert und konfiguriert und das Standard-Setup eingerichtet und ausgeführt. Ich werde zuerst nach dem Token und anschließend nach dem Passwort des Benutzers gefragt.
Ich versuche jetzt, die Reihenfolge der beiden Faktoren zu ändern. Ich muss zuerst nach dem Passwort und zuletzt nach dem Token fragen, aber ich konnte dieses nicht konfigurieren.
So /etc/pam.d/sshdsieht es nach der Installation aus:
#%PAM-1.0 auth required pam_google_authenticator.so nullokt auth required pam_sepermit.so auth include password-auth account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session optional pam_keyinit.so force revoke session include password-auth Ich habe versucht, die Parameter des ersten Abschnitts ohne Erfolg zu verschieben. Wenn ich zum Beispiel die google_authenticator-Zeile am unteren Rand des Firat-Abschnitts verschiebe, ist nur die Kennwortauthentifizierung aktiviert.
Bearbeiten:
Ich habe die Dokumentation von PAM gelesen, kann dies aber nicht erreichen. Ich habe versucht, Google-Authenticator mit /etc/pam.d/password-auth zu bündeln, aber es hat sich nichts geändert. Es ist entweder das erste Token und das zweite Passwort oder nur das Passwort.
Das gleiche Problem ist bei Centos 6.2 aufgetreten. Es funktioniert, nachdem ich das Include in der PAM-Datei wie folgt kommentiert habe. Ich verwende ArchLinux Wiki als Referenz.
auth required pam_unix.so auth required pam_env.so auth required pam_google_authenticator.so #auth required pam_sepermit.so #auth include password-auth ...