我已成功pam_radius在 Ubuntu 客户端上进行配置,以便要求用户输入 OTP。radius 服务器是带有 Azure MFA 扩展的 NPS。OTP 会根据 Azure 进行检查。
它运行良好,但我宁愿不将用户凭据发送到 NPS,这样只检查 OTP。此外,在输入密码之前先要求用户输入 OTP 也不错。
我在其他地方读到过(https://learn.microsoft.com/en-us/answers/questions/20921/mfa-nps-error.html) 如果我们在 NPS 上选择“接受用户而不验证凭据”(除了 pam_radius_auth 配置上的“skip_passwd”),这将起作用 - 但事实并非如此。
这是因为 pam_radius 总是会尝试使用密码和 OTP 进行身份验证吗?或者 NPS 总是会要求输入密码?但另一方面,pam_radius_auth 文档中说 skip_pass 在这种情况下会发送一个空值作为密码,那么为什么仍然要求我输入密码呢?
最好的,弗朗西斯
答案1
刚刚发现问题所在:勾选“接受用户而不验证凭据”即可解决问题。我误认为在身份验证设置下勾选了“允许客户端在不协商身份验证方法的情况下进行连接”。现在它按预期工作了。
答案2
您能分享一下您执行此操作的步骤吗?我目前正在尝试做同样的事情。我们已经为我们的办公室在线/交换/VPN 设置了带有 MS 身份验证器的 MFA,但我们也想在我们的 ubuntu 桌面 GUI 上实现这一点。
我已经能够使用 ms 身份验证器应用程序在每个系统上本地实现 google pam 身份验证器,但这涉及向应用程序添加新帐户,并且我想使用用户已经在使用的当前 mfa。
我们已经有了 radius/ntp/azure,我只是不知道在 ubuntu 桌面端我需要做什么才能将其连接到它。