2.4.9.2 Настройка двухфакторной аутентификации с помощью модуля pam_usb
Скачать документ
Окружение
- Версия РЕД ОС: 7.3
- Редакция ОС: Все
- Конфигурация: Рабочая станция, Сервер графический, Сервер минимальный
- Версия ПО: pam_usb-0.8.3
Для двухфакторной аутентификации используется модуль «pam_usb». Чтобы использовать FLASH-накопитель в качестве токена аутентификации, необходимо подключить к ЭВМ FLASH-накопитель и убедиться, что ОС успешно его подмонтировала.
Вы можете подробнее ознакомиться с возможностью настройки двухфакторной аутентификации, просмотрев наши обучающие видео:
на RuTube — Модуль PAM USB - двухфакторная аутентификация;
в Яндекс.Дзен — Модуль PAM USB - двухфакторная аутентификация;
в VK Видео — Модуль PAM USB - двухфакторная аутентификация.
На наших каналах вы также сможете найти много другой полезной информации.
Добавить FLASH-накопитель, который будет использоваться как токен для аутентификации:
pamusb-conf --add-device <Auth-Stick>
где <Auth-Stick> - произвольное имя, присваиваемое токену.
Далее необходимо выбрать устройство из числа обнаруженных:
Please select the device you wish to add. * Using "JetFlash TS128MJF2A (JetFlash_TS128MJF2A-0:0)" (only option) Which volume would you like to use for storing data ?
И подтвердить его использование:
* Using "/dev/sdc1 (UUID: 1CD6-B3F1)" (only option) Name : Auth-Stick Vendor : JetFlash Model : TS128MJF2A Serial : JetFlash_TS128MJF2A-0:0 UUID : 1CD6-B3F1
Подтвердить сохранение параметров:
Save to /etc/pamusb.conf ? [Y/n] y
Done.
Далее необходимо добавить пользователей, которые могут использовать этот токен:
pamusb-conf --add-user='petrov'
Which device would you like to use for authentication ? * Using "Auth-Stick" (only option) User : petrov Device : Auth-Stick Save to /etc/pamusb.conf ? [Y/n] y
Done.
Необходимо внести изменения в файлы конфигурации PAM system-auth и password-auth профиля authselect.
Способ внесения изменений зависит от текущей настройки authselect:
1. Если компьютер введен в домен с помощью утилиты join-to-domain, то может использоваться authselect профиль sssd_domain или winbind_domain. В таком случае необходимо внести изменения в файлы /etc/authselect/<идентификатор_профиля>/system-auth и /etc/authselect/<идентификатор_профиля>/password-auth.
Чтобы определить <идентификатор_профиля> используемого профиля authselect выполните команду :
authselect current
Пример вывода:
Идентификатор профиля: custom/sssd_domain Включенные функции: - with-faillock - with-fingerprint - with-smartcard - with-mkhomedir
где :
<идентификатор_профиля> может принимать следующие значения:
для sssd_domain —
custom/sssd_domain;для winbind_domain —
custom/winbind_domain.
Добавьте в файлы /etc/authselect/<идентификатор_профиля>/system-auth и /etc/authselect/<идентификатор_профиля>/password-auth первой строкой:
Если оба этапа авторизации — usb-токен и пароль — обязательны:
auth required pam_usb.soЕсли необходимо разрешить вход с использованием usb-токена или пароля (в случае неуспешной авторизации по токену):
auth sufficient pam_usb.soНе используйте вариант sufficient для работы в домене. При автоматическом открытии сеанса с помощью USB-токена билет Kerberos для пользователя не будет получен.
Примените изменение профиля:
authselect apply-changes
2. Если применён собственный пользовательский профиль authselect (идентификатор начинается на "custom"), то произведите действия идентичные предыдущему пункту, но с использованием идентификатора текущего профиля.
3. Если применён предустановленный в системе профиль authselect (идентификатор НЕ начинается на "custom"), то необходимо создать собственный профиль согласно статьи "Настройка системной аутентификации с помощью authselect" и отредактировать идентично пункту 1 выше.
Не забудьте после переключения на созданный профиль authselect включить необходимые функции (возможности):
authselect enable-feature <название_функции> Дата последнего изменения: 22.04.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.