OTP перед паролем с pam_radius и NPS
Я успешно настроилpam_radiusна клиенте Ubuntu, чтобы у пользователей запрашивался OTP. Радиусный сервер — это NPS с расширением Azure MFA. OTP проверяется в Azure.
Это работает хорошо, но я бы предпочел не отправлять учетные данные пользователя в NPS, чтобы проверяться только OTP. Также было бы неплохо спросить у пользователя OTP перед паролем.
Я читал в другом месте (https://learn.microsoft.com/en-us/answers/questions/20921/mfa-nps-error.html), что если мы выберем «Прием пользователей без проверки учетных данных» на NPS (в дополнение к «skip_passwd» в конфигурации pam_radius_auth), это будет работать, но это не так.
Это потому, что pam_radius всегда будет пытаться аутентифицироваться как с паролем, так и с OTP? Или, может быть, NPS всегда будет запрашивать пароль? Но с другой стороны, в документации pam_radius_auth сказано, что в этом случае Skip_pass отправит в качестве пароля значение null, так почему же меня все еще просят ввести пароль?
Лучший, Фрэнсис
2 ответа
Не могли бы вы рассказать, какие шаги вы предприняли для этого? В настоящее время я пытаюсь сделать то же самое. У нас уже есть mfa с аутентификатором ms, настроенным для нашего офиса онлайн/обмена/vpn, но мы также хотели бы реализовать это в графическом интерфейсе нашего рабочего стола Ubuntu.
Мне удалось реализовать аутентификатор Google Pam локально в каждой системе с помощью приложения аутентификатора ms, но это предполагает добавление новой учетной записи в приложение, и я хотел бы использовать текущий MFA, который уже используется пользователями.
У нас уже есть radius/ntp/azure, я просто не знаю, что мне нужно сделать на стороне рабочего стола Ubuntu, чтобы подключить его к нему.
Только что понял, что было не так: отметка «Принимать пользователей без проверки учетных данных» помогла. Я ошибся с «Разрешить клиентам подключаться без согласования метода аутентификации» в настройках аутентификации. Теперь он работает так, как хотелось.