我正在使用 Google 的开源 PAM 模块对 SSH 登录和某些 Apache 指令进行双向身份验证。它工作得很好,但是我只想在尝试从外部网络登录时使用它,仅在网络内部使用基本的用户名/密码。基本上将网络列入白名单。我怎样才能做到这一点?我似乎找不到答案...
答案1
看起来 pam 模块(假设您指的是他们为两因素身份验证引入的“google 身份验证器”模块)没有任何本地支持此功能的选项,因此您可能必须使用 pam 堆栈控制标志进行调整。
一种可能性是:
- 将堆栈中的 pam_access 配置为“足够”(这样成功会阻止 PAM 之后执行,但失败会阻止 PAM 执行)
- 配置 pam_access 以始终为本地网络用户返回成功
- 将 google 身份验证器模块放在 pam_access 行之后。
最终效果应该是(我没有测试过)谷歌身份验证器模块的执行取决于 pam_access 说它们不是本地的(即失败)。它应该可以工作,因为 pam_access 的手册页说模块中提供了“auth”设施。
让我知道结果。