GNU/Linux >> Tutoriels Linux >  >> Linux

sshd :comment activer l'authentification PAM pour des utilisateurs spécifiques sous

Solution 1 :

Vous pourriez probablement gérer cela avec le pam_listfile module. Créer un /etc/pam.d/sshd fichier qui ressemble à :

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Cela n'autoriserait que les personnes répertoriées dans /etc/authusers la possibilité de s'authentifier avec un module à deux facteurs (dans notre cas, secureid). Je n'ai pas réellement testé cette configuration, mais la théorie est solide.

Vous pouvez simplifier les choses en autorisant n'importe qui pour s'authentifier à l'aide de l'authentification à deux facteurs ; vraisemblablement, seules les personnes disposant des périphériques/de la configuration appropriés seraient en mesure de réussir, de sorte que vous obtiendriez effectivement le même comportement.

Solution 2 :

Afin de désactiver l'authentification à deux facteurs pour les utilisateurs sans Google Authenticator configuré, ajoutez le nullok option en /etc/pam.d/sshd :

auth   required   pam_google_authenticator.so nullok

Pour plus de détails, voir :https://github.com/google/google-authenticator-libpam#setting-up-a-user

Solution 3 :

En utilisant la solution ci-dessous, le module PAM (google authentication) peut être désactivé pour des utilisateurs spécifiques-

1) Créez un groupe d'utilisateurs sur l'instance Linux. MFA/PAM sera désactivé pour les utilisateurs présents dans ce nouveau groupe-

sudo groupadd <groupname>

2) Créer un utilisateur ou ajouter un utilisateur existant au groupe nouvellement créé-

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Modifiez le fichier /etc/pam.d/sshd et ajoutez la déclaration ci-dessous pour ignorer le module PAM pour le groupe nouvellement créé-

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Facultatif-

Si un accès complet est requis pour ce nouveau groupe, ajoutez la ligne ci-dessous au fichier visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Lorsqu'un utilisateur sera créé et ajouté au nouveau groupe, MFA sera ignoré pour ces utilisateurs.

Référencé à partir du blog -TechManyu


Linux

  1. CentOS / RHEL :Comment définir la prison chroot pour vsftp uniquement pour des utilisateurs spécifiques

  2. Comment désactiver une commande spécifique pour un utilisateur spécifique sous Linux

  3. Comment activer mysqlnd pour php ?

  4. Comment chown répertoire pour plusieurs utilisateurs?

  5. Comment remapper les touches sous Linux pour un clavier spécifique uniquement

Désactiver l'authentification par mot de passe SSH pour un utilisateur ou un groupe spécifique

Comment configurer l'authentification multifacteur pour SSH sous Linux

Comment activer le sudo sans mot de passe pour l'utilisateur sous Linux

Comment activer le canal Conda-forge pour le gestionnaire de packages Conda

Authentification à deux facteurs :comment activer dans cPanel ?

Comment activer l'authentification en clair dans Dovecot ?