google authenticator 配置动态密码登录
以下是一个基于Google Authenticator实现动态密码登录的PAM配置实例:
1. 安装Google Authenticator模块:
```bash
yum install google-authenticator -y
```
2. 为用户创建配置文件和密钥:
```bash
google-authenticator
```
在执行该命令时,会提示一些问题,如是否允许用户重用一次性密码、是否允许用户使用时间同步算法等,可以根据需求进行配置。
3. 修改PAM配置文件/etc/pam.d/sshd:
```bash
#%PAM-1.0
auth required pam_sepermit.so
auth required pam_google_authenticator.so nullok
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
```
在该配置文件中,添加了一行`auth required pam_google_authenticator.so nullok`,表示使用Google Authenticator模块进行认证,如果该行不存在,则需要添加。
4. 重启sshd服务:
```bash
systemctl restart sshd
```
5. 尝试登录:
当用户尝试登录时,系统会要求用户输入密码和Google Authenticator生成的验证码,如果输入正确,则认证通过,否则登录失败。
特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。