Zkousel jsem na serveru pouzivat dvoufazove prihlasovani pomoci Google Authenticator (libpam-google-authenticator).
Na SSH funguje dobre, ale vadi mi ona "dvoufazovost". Samostatne zadam heslo a overovaci kod.
Chapu ten princip, nastavuje se to i v sshd (ChallengeResponseAuthentication).
$ ssh hostname
login as: <username>
Verification code: <generated/backup-code>
Password: <password>
$
Nekde jsem cetl, ze Youbikey ma jiny zpusob. Uzivatel prida overovaci kod na konec hesla a PAM modul si ho odrizne.
Rad bych neco podobneho. Kdyz nekterym uzivatelum zapnu Google Authenticator, tak aby zadavali heslo ve tvaru mojeHeslo1234, kde 1234 by byl kod z mobilu.
Takze by to pak funogvalo uplne vsude. Ne pouze na SSH a par podporovanych programu. Treba i na http basic auth.
Existuje nejaka moznost, jak to udelat?
Yubikey si zatim kupovat nechci, staci mi nezapominat nosti mobil, natoz dalsi vec.
2 Odpovědí
1160 Zhlédnutí