双方向SSHおよびApache認証をローカルではなくネットワークに制限する

双方向SSHおよびApache認証をローカルではなくネットワークに制限する

私はSSHログインと一部のApacheディレクティブの双方向認証にGoogleのオープンソースPAMモジュールを使用しています。うまくいきますが、ネットワーク内でのみデフォルトのユーザー名/パスワードを使用して外部ネットワークからログインしようとした場合にのみ使用したいと思います。デフォルトでは、ネットワークをホワイトリストに追加します。どうすればいいですか?答えが見つかりませんでした...

答え1

pamモジュール(2段階認証用に導入された「google Authenticator」モジュールを意味すると仮定)には、これをデフォルトでサポートするオプションがないようです。pamスタック制御フラグを使用して調整する必要があるかもしれません。

1つの可能性は次のとおりです。

  1. スタックの pam_access を「十分」に設定します。したがって、成功すると後でPAMは実行されませんが、失敗するとPAMは実行されません。
  2. ローカルネットワークユーザーに常に成功を返すようにpam_accessを設定します。
  3. pam_access行の後にGoogle認証モジュールを配置します。

pam_accessに従ってGoogle Authenticatorモジュールを実行すると、ローカルではない(つまり失敗した)現れる最終的な効果は(テストされていません)です。 pam_accessのマニュアルページに、「auth」機能がモジュールに提供されていることが示されているため、機能する必要があります。

結果を教えてください。

関連情報