问题描述
我尝试在 linux 中使用 pam radius 模块配置 2FA,它可以正常工作,但与我预期的不一样。
使用我当前的配置(pam.d 中的模块 sshd),当一个用户开始登录过程时,系统会提示系统身份验证密码,然后radius 模块要求进行第二次身份验证(在我的情况下使用 MFA 进行电话呼叫)。 但是radius 模块总是要求2FA,无论system-auth 返回成功还是失败。 对我来说最好的配置是,只有在本地身份验证成功时,radius 模块才会提示 2FA。
伙计们,您知道配置 sshd pam 模块和/或 system-auth 模块的正确方法吗?。
我的 sshd pam 配置是标准的
# cat sshd
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
# 2FA
auth [default=ignore success=1 ] pam_succeed_if.so uid <= 10000 debug
auth required pam_radius_auth.so client_id=xxxxx debug
#
auth include password-auth
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
谢谢和问候。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)