на моих тестовых серверах (с Debian или Centos) мне нужно иметь возможность переходить от одного пользователя к руту с аутентификацией Google. чтобы понять проблему, например, на сервере у меня есть два пользователя bob -> для использования su - или su root использует аутентификацию google (не знает и не может знать пароль root) alice -> для использования su - или su root использует обычный пароль root, потому что он их знает. Я не знаю, правильно ли я понимаю, я пытаюсь добавить его в строки [root@proxy ~]# nano /etc/pam.d/su сверху, например:

#%PAM-1.0
#auth required pam_google_authenticator.so nullok use_uid user = bob
#auth required pam_google_authenticator.so use_uid user = bob
auth required pam_google_authenticator.so

но ничего из условий user = bob не работает. Только стандартный "глобальный" ряд работает нормально ... Я протестировал его со многими руководствами из Интернета, но он все еще не работает. У меня нет идей, как решить эту проблему.

Я прошу совета в понимании этого. Спасибо!

|источник

1 ответ1

0

Вы можете использовать pam_succeed_if, чтобы пропустить проверку как bob в /etc/pam.d/su , например

auth [success=2 default=ignore] pam_succeed_if.so use_uid user in bob
auth sufficient                 pam_unix.so
auth requisite                  pam_deny.so
auth sufficient                 pam_google_authenticator.so
auth requisite                  pam_deny.so
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .