我对 centos 上的 PAM 模块有疑问。也就是说,如何在一个屏幕上使用用户的一次性密码登录?喜欢
用户名:rohit 密码:.... OTP : .... 在单个屏幕上。
答案1
登录客户端不会允许这样做 - PAM 也不会这样做,因为 PAM 只需要一个密码。
你会做的是
A) 输入密码和 OTP 作为“密码”+“OTP”或
B) 首先输入“密码”,然后输入 OTP。
如果您想根据您的 pam_unix 验证密码,则无法以这种方式工作,因为您无法在 PAM 中拆分密码。
所以你可以使用版本 B):
然后你会定义类似的东西:
auth requried pam_unix.so
auth required pam_OTP.so
然后 PAM 会询问您的用户名,然后询问您的 UNIX 密码,如果正确,它将询问您的 OTP。 (如果您使用的是 pam_otpw 之类的东西。)
我检查后,gdm 没有依次显示两个登录屏幕,因此您需要检查您的应用程序。
但您也可以使用 OTP 后端,它支持像 A) 中那样的身份验证。 隐私IDEA允许像这样进行身份验证,您将设置 pam_radius,然后使用“密码”+“OTP”进行身份验证。对于 PAM 来说,只需处理一个身份验证请求和一个密码,privacyIDEA 会在后端将其拆分。