我公司有一台服务器配置了 Google 双重身份验证。
该公司的一名用户丢失了手机,无法找到紧急密码。
我该怎么做才能恢复他的账户?
是否可以对服务器中的特定组强制实施 2FA?
答案1
我已经找到了我的问题的答案,但没有人回答,所以我会自己回答以供将来参考。
为了对特定群组强制实施 Google 双重身份验证:
首先,创建一个组或使用一个现有的组,我的组叫做“gauth”。
然后,编辑/etc/ssh/sshd_config并在文件末尾的“UsePAM yes”下添加以下行:
Match Group gauth
AuthenticationMethods publickey,keyboard-interactive
此设置意味着每个属于“gauth”组的用户都将被强制提供公钥+手动输入密码(在我的情况下是 google 身份验证器的一次性密码)。
关于我的另一个问题...当紧急代码不可用时,如何恢复帐户?
如果没有紧急密钥就无法恢复帐户,最好打印出您的紧急代码并将其保存在安全的离线地方。