Цель: я хочу настроить pam на использование обычного пароля пользователя (pam_unix.so) и дополнительного пароля. (с успехом, только когда я правильно ввожу оба пароля и отказываю (pam_deny.so) в случае, если я ввожу только один пароль или пароль отсутствует правильно). Как мне этого добиться? (Я не хочу использовать GA или сторонний метод, я знаю о них, но мне все еще нужен второй пароль, пожалуйста, не говорите мне о них). Кроме того, я хочу знать, как добавить второе поле или получить другой тип для второго пароля в lightdm и gnome-screensaver в том же поле. Я прошёл - хотя все плагины pam на github, может быть, я смогу как-то изменить или настроить pam-dotfile, чтобы добиться этого.
1 ответ
Редактировать: Как утверждает @grawity, совместимое приложение может корректно обрабатывать такую схему аутентификации. Графические проблемы можно избежать, задавая два пароля в двух последовательных шагах (не три поля «login / pass1 / pass2», как я встречал в конкретном приложении с использованием RSA SecureID, а обычный экран логина / пароля, за которым следует второй экран пароля после первый вход)
Что касается PAM, то все о:
- Установка или создание соответствующего модуля PAM, который будет обрабатывать второй пароль (с небольшой вероятностью поставщик RFID может уже предоставить его или, если он достаточно стандартен, может уже существовать где-то еще),
- Конфигурирование PAM для принятия многофакторной аутентификации, обычно путем добавления второго «auth required new_module_name_here.so», но это во многом зависит от используемого дистрибутива Linux. Некоторые исследования о «многофакторности pam» могут оказаться полезными. Конфигурация PAM допускает множество тонкостей, таких как порядок паролей, запрашиваемых, если второй должен запрашиваться только тогда, когда первый действителен или всегда, и т.д.
- Сконфигурируйте ваше приложение соответствующим образом, если это необходимо, но в зависимости от ваших потребностей и существующих вам может повезти, и оно будет работать из коробки.
Исходное сообщение: вместо того, чтобы обновлять пользовательский интерфейс из логина оболочки, логина lightdm и логина с заставкой (т. Е. Создать ветвь всего этого, что вам придется поддерживать со временем), возможно, лучшим выбором будет объединение двух паролей в один (например, определите в качестве своей собственной политики, что вам придется вводить каждый пароль, разделенный тире: «password1-password2»), а затем создайте свой собственный конкретный модуль PAM для аутентификации.
Это означает, что вы останетесь совместимым со всеми в настоящее время существующим приложением.