Google Authenticator для рабочего стола (плагин lightdm или gdm)

10

У вас был аналогичный вопрос , но это не совсем то, что я хочу .

Я хотел бы знать, есть ли плагин или надстройка для lightdm или gdm, что позволяет мне аутентифицироваться с использованием моего пароля и аутентификатора google. Я говорю о вводе вашего кода GA в регистрацию рабочего стола - как в графическом интерфейсе, так и в командной строке, для входа в систему - для доступа к локальному рабочему столу.

    
задан JulioHM 26.09.2012 в 15:21
источник

3 ответа

7

Взгляните на это сообщение в блоге: Двухэтапная аутентификация Google на рабочем столе Что это такое?

Установка

sudo apt-get install libpam-google-authenticator

Использование

google-authenticator

Согласно сообщению в блоге, есть версия lightdm-kde, в которую включена учетная запись с двумя факторами, которая может использовать Google Authenticator при добавлении включенного модуля PAM в вашу среду.

auth required pam_google_authenticator.so

Результатом поиска в вашем графическом интерфейсе выглядит так:

источник здесь

    
ответ дан Temp 05.10.2012 в 16:41
источник
13

Установка

Установите PAM-модуль Google Authenticator следующим образом:

sudo apt-get install libpam-google-authenticator

Теперь запустите google-authenticator (внутри терминала) для каждого пользователя, с которым вы хотите использовать Google Authenticator, и следуйте инструкциям. Вы получите QR-код для сканирования с помощью вашего смартфона (или ссылки) и аварийных кодов.

Конфигурация

Чтобы активировать Google Authenticator, загляните в каталог /etc/pam.d / . Существует файл для всех способов аутентификации с вашим компьютером. Вам необходимо отредактировать файлы конфигурации для каждой службы, которую вы хотите использовать с Google Authenticator. Если вы хотите использовать его с SSH, отредактируйте sshd , если вы хотите использовать его в LightDM, отредактируйте lightdm . В этих файлах добавьте один следующих строк:

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

Используйте первую строку, пока вы все еще переносите своих пользователей в Google Authenticator. Пользователи, которые не настроены, могут войти в систему. Вторая строка заставит использовать Google Authenticator. Пользователи, у которых его нет, не могут войти в систему. Для sshd очень важно, чтобы строка была помещена в верхний файла, чтобы предотвратить атаки грубой силы на ваш пароль.

Чтобы добавить его в LightDM, вы можете запустить это:

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

Теперь, когда вы входите в систему, вы получите индивидуальный запрос на свой пароль и двухэтапный код аутентификации.

Зашифрованные домашние каталоги

Если вы используете домашнее шифрование (ecryptfs), файл $ HOME / .google_authenticator не будет доступен для чтения PAM-модуля (поскольку он все еще зашифрован). В этом случае вам нужно переместить его в другое место и сообщить PAM, где его найти. Возможная строка может выглядеть так:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

Вам нужно создать каталог для каждого пользователя в /home/.ga , который имеет имя пользователя и изменит права собственности на этот каталог для пользователя. Затем пользователь может запустить google-authenticator и переместить созданный файл .google-authenticator в этот каталог. Пользователь может запускать следующие строки:

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

Это позволит модулю получить доступ к файлу.

Для других параметров ознакомьтесь с README .

    
ответ дан mniess 26.04.2013 в 14:26
1

Использование двухфакторной аутентификации в ssh, сконфигурированной, как описано выше, ранее, все еще оставляет вашу систему открытой для возможных грубых силовых атак на ваш пароль. Это может поставить под угрозу уже первый фактор: ваш пароль. Поэтому я решил добавить следующую строку не внизу, а в top файла /etc/pam.d/sshd , как ранее не было отмечено:

auth required pam_google_authenticator.so

Это приводит к тому, что сначала появится запрос для вашего кода подтверждения, а затем для вашего пароля (независимо от того, правильно ли вы ввели код проверки). При такой конфигурации, если вы ввели либо код подтверждения, либо пароль неправильно, вы должны ввести их оба снова. Я согласен, что это немного неприятно, но эй: вы хотели безопасности или просто чувство безопасности?

    
ответ дан Maarten 01.09.2015 в 07:45