Двухфакторная аутентификация для Dovecot/Postfix / SSH / PAM
Мне интересно, есть ли какой-нибудь модуль двухфакторной аутентификации, который поддерживает PAM. Мои dovecot(PAM), postfix(SASL) и openssh проходят аутентификацию через PAM для пользователей системы. Я хотел бы, чтобы он делал двухфакторную аутентификацию, может быть, через yubikey, google authenticator или что-то еще. А также, как мой почтовый клиент справится с этим?
2 ответа
Действительно, вы хотите выбрать правильный протокол аутентификации, который поддерживается PAM, сервисы, которые вы хотите защитить, и самое широкое число серверов двухфакторной аутентификации.
Радиус - это ответ.
Все основные системы двухфакторной аутентификации поддерживают радиус. Радиус поддерживается в PAM через плагин радиуса pam. Radius также позволит вам прокси-запросы через freeradius (или NPS на AD), которые затем могут выполнять авторизацию для вашего каталога. (Это означает, что у вас есть одно место для отключения пользователей.)
У нас есть несколько учебных пособий, которые должны помочь: пара по pam-radius: https://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to & https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-pam-radius-in-ubuntu
И это при добавлении двухфакторной аутентификации к веб-почте, которая охватывает sasl и т. Д. https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-strong-authentication
Почтовые клиенты будут запрашивать OTP при каждом запуске или для каждого сеанса.
Pam-tacacs и pam-ldap были бы другими вариантами, но более сложными и менее гибкими, IMO.
В Google Authenticator есть модуль PAM. Инструкции для этого здесь. Я не уверен, как это будет работать с почтой.