我想知道是否有支持 PAM 的双因素身份验证模块。我的 dovecot(PAM)、postfix(SASL) 和 openssh 通过 PAM 对系统用户进行身份验证。我希望它进行双因素身份验证,可能通过 yubikey、google authenticator 或其他方式。此外,我的邮件客户端如何处理?
答案1
实际上,您需要选择 PAM 支持的正确身份验证协议、您想要保护的服务以及最大数量的双因素身份验证服务器。
答案是半径。
所有主要的双因素身份验证系统都支持 radius。PAM 通过 pam-radius 插件支持 Radius。Radius 还允许您通过 freeradius(或 AD 上的 NPS)代理请求,然后可以对您的目录执行授权。(这意味着您有一个位置可以禁用用户。)
我们有许多可以提供帮助的教程:一些关于 pam-radius 的教程:https://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to&https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-pam-radius-in-ubuntu
这是关于向涵盖 sasl 等的 Webmail 添加双因素身份验证的内容。 https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-strong-authentication
电子邮件客户端每次启动或每次会话时都会提示输入 OTP。
Pam-tacacs 和 pam-ldap 是其他选择,但在我看来,它们更困难且灵活性更差。
答案2
Google 身份验证器有一个 PAM 模块。它的说明在这里。我不确定它如何与邮件配合使用。