我的网络上有一个 2FA 设置,用于某些类型的身份验证,但不用于其他类型的身份验证。当前的工作方式是用于密码的 pam_ldap 和用于 TOTP 的 pam_oath 的组合。 PAM 的配置方式是只需要 pam_ldap 进行本地登录/解锁,只需要 pam_oath 进行 SSH(因为它已经需要公钥),并且只需要 pam_oath 进行 sudo 和 su。
此设置的问题是 pam_oath 从 读取/etc/users.oath
。我需要根据 LDAP 内容定期重新生成此文件。更糟糕的是,它还会写入这个文件,我目前只是忽略它。
我想尝试一下 OpenLDAP 的 TOTP 模块,称为斯拉波-奥特普。这将解决必须保持文件同步的问题,但在某些情况下我会失去跳过它的选项。我不想每次都用它来解锁屏幕,人们只会关闭屏幕锁,老实说,即使我也会这样做。
请给我一些想法。