перейти в root (su -) с аутентификацией Google для одного конкретного пользователя

408
raisam

на моих тестовых серверах (с Debian или Centos) мне нужно иметь возможность переходить от одного пользователя к руту с аутентификацией Google. чтобы понять проблему, например, на сервере у меня есть два пользователя bob -> для использования su - или su root использует аутентификацию google (не знает и не может знать пароль root) alice -> для использования su - или su root использует обычный пароль root, потому что он их знает. Я не знаю, правильно ли я понимаю, я пытаюсь добавить его в [root@proxy ~]# nano /etc/pam.d/su строки сверху, такие как:

#%PAM-1.0 #auth required pam_google_authenticator.so nullok use_uid user = bob #auth required pam_google_authenticator.so use_uid user = bob auth required pam_google_authenticator.so

но ничего из условий user = bobне работает. Только стандартная "глобальная" строка работает нормально ... Я проверил ее со многими руководствами из Интернета, но она все еще не работает. У меня нет идей, как решить эту проблему.

Я прошу совета в понимании этого. Спасибо!

0
(1) У вас есть сотрудник по имени Алиса? Интересно. (2) Вы могли бы получить лучшие результаты, если бы вы объяснили более четко и ясно, что вы хотите. Представьте, что вы пытаетесь объяснить это девятилетнему ребенку. Что именно вы подразумеваете под «аутентификацией Google»? Вы хотите, чтобы «bob» мог стать суперпользователем, набрав `su -` или` su root` * и ** no password **? * Какой пароль вы хотите, чтобы он (или она?) Вводил? (3) Почему вы не используете `sudo`? Scott 6 лет назад 1
Извините за мой плохой английский. Конечно, я имею в виду ** google authenticator ** для использования со службой pam.d только для одного пользователя после использования команды su - или su root. Вы правы, потому что у bob нет пароля для su, он должен иметь коды, основанные на времени (коды авторизации). raisam 6 лет назад 0
когда bob набирает su -or su root, мне бы хотелось, чтобы это выглядело так: `` `[bob @ proxy ~] # su - $ Код подтверждения:` ``, но Алиса будет использовать обычный пароль `` `[Алиса @ proxy ~] # su - $ Пароль: `` ` raisam 6 лет назад 0

1 ответ на вопрос

0
Stefan

Вы можете использовать pam_succeed_if, чтобы пропустить проверку как bob in /etc/pam.d/su, например

auth [success=2 default=ignore] pam_succeed_if.so use_uid user in bob auth sufficient pam_unix.so auth requisite pam_deny.so auth sufficient pam_google_authenticator.so auth requisite pam_deny.so

Похожие вопросы