डेस्कटॉप के लिए Google प्रमाणक (lightdm या gdm प्लगइन)


10

वहाँ एक समान प्रश्न किया गया है , लेकिन यह बिल्कुल वैसा नहीं है जैसा मैं चाहता हूँ।

मुझे पता है कि क्या कोई प्लगइन या ऐड-ऑन है, lightdm या gdm के लिए जो मुझे अपने पासवर्ड और Google प्रमाणक का उपयोग करके प्रमाणित करने की अनुमति देता है। मैं आपके जीए कोड को डेस्कटॉप लॉगिन में दर्ज करने के बारे में बात कर रहा हूं - दोनों जीयूआई या कमांड लाइन, शेल लॉगिन - आपके स्थानीय डेस्कटॉप तक पहुंच प्राप्त करने के लिए।

जवाबों:


8

शीर्षक वाले इस ब्लॉग पोस्ट पर नज़र डालें: Google टू-स्टेप ऑथेंटिकेशन ऑन योर डेस्कटॉप यह क्या है?

स्थापना

sudo apt-get install libpam-google-authenticator

प्रयोग

google-authenticator

   ss # १                                                 ss # 2

ब्लॉग पोस्ट के अनुसार लाइटमेड-केडी का एक संस्करण है जिसमें 2 कारक प्रमाणीकरण शामिल हैं जो Google प्रमाणक का लाभ उठा सकते हैं जब आप अपने वातावरण में शामिल PAM मॉड्यूल को जोड़ते हैं।

auth required pam_google_authenticator.so

अपने GUI लॉगिन को इस तरह देख रहे हैं:

ss # ३ ss # 4

स्रोत यहाँ


3
AskUbuntu में आपका स्वागत है। क्या आप यहां लिंक के आवश्यक भागों को शामिल कर सकते हैं? धन्यवाद!
प्रात:

अति उत्कृष्ट! क्या इससे सभी उपयोगकर्ताओं को GA की आवश्यकता होगी? रिकवरी बूट पर यह कैसे काम करेगा? मुझे लगता है कि रूट उपयोगकर्ता को रिकवरी कंसोल पर वापस जाने की आवश्यकता होने पर इसे सही ढंग से कॉन्फ़िगर करने की आवश्यकता होगी।
जूलियोएचएम

1
@ जूलियोएचएम, उस पर मेरा जवाब देखें। एक "माइग्रेशन" विकल्प है जो GA को सभी उपयोगकर्ताओं के लिए आवश्यकता नहीं बनाएगा।
मिन्नेस

14

स्थापना

Google प्रमाणक PAM- मॉड्यूल को इस तरह स्थापित करें:

sudo apt-get install libpam-google-authenticator

अब google-authenticatorप्रत्येक उपयोगकर्ता के लिए चलाएं (एक टर्मिनल के अंदर) जो आप Google प्रमाणक का उपयोग करना चाहते हैं और निर्देशों का पालन करें। आपको अपने स्मार्टफोन (या एक लिंक) और आपातकालीन-कोड के साथ स्कैन करने के लिए एक क्यूआर-कोड मिलेगा।

विन्यास

Google प्रमाणक को सक्रिय करने के लिए निर्देशिका /etc/pam.d/ के अंदर देखें । आपके कंप्यूटर के साथ प्रमाणित करने के लिए हर तरीके की एक फ़ाइल है। आपको Google प्रमाणक के साथ उपयोग की जाने वाली प्रत्येक सेवा के लिए कॉन्फ़िगरेशन फ़ाइलों को संपादित करना होगा। आप SSH, संपादित के साथ उपयोग करना चाहते हैं sshd , आप LightDM, संपादित में इसका इस्तेमाल करना चाहते हैं तो lightdm । उन फ़ाइलों में, निम्न पंक्तियों में से एक जोड़ें :

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

पहली पंक्ति का उपयोग करें, जबकि आप अभी भी अपने उपयोगकर्ताओं को Google प्रमाणक में स्थानांतरित कर रहे हैं। जिन उपयोगकर्ताओं के पास यह कॉन्फ़िगर नहीं है, वे अभी भी लॉग इन कर सकते हैं। दूसरी पंक्ति Google प्रमाणक के उपयोग को बाध्य करेगी। जिन उपयोगकर्ताओं के पास यह नहीं है, वे अब लॉग इन नहीं कर सकते। Sshd के लिए यह काफी महत्वपूर्ण है कि आप अपने पासवर्ड पर ब्रूट-फोर्स के हमलों को रोकने के लिए लाइन को फ़ाइल के शीर्ष पर रखें।

इसे LightDM में जोड़ने के लिए आप इसे चला सकते हैं:

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

अब जब आप लॉग इन करेंगे तो आपके पासवर्ड और 2-स्टेप ऑथेंटिकेशन कोड के लिए अलग से पूछा जाएगा।

एन्क्रिप्टेड घर निर्देशिका

यदि आप होम-एन्क्रिप्शन (ई -क्रिप्ट) का उपयोग करते हैं, तो फ़ाइल $ HOME / .google_authenticator PAM- मॉड्यूल के लिए पठनीय नहीं होगी (क्योंकि यह अभी भी एन्क्रिप्टेड है)। इस मामले में आपको इसे कहीं और स्थानांतरित करने की आवश्यकता है और पीएएम को बताएं कि इसे कहां खोजना है। एक संभावित रेखा इस तरह दिख सकती है:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

आपको /home/.ga में प्रत्येक उपयोगकर्ता के लिए एक निर्देशिका बनाने की आवश्यकता है, जिसमें उपयोगकर्ता का नाम हो और उस निर्देशिका के स्वामित्व को उपयोगकर्ता में बदल दे। फिर उपयोगकर्ता google-authenticatorउस निर्देशिका में निर्मित .google-Authatorator फ़ाइल चला और चला सकता है । उपयोगकर्ता निम्नलिखित लाइनें चला सकता है:

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

यह मॉड्यूल को फ़ाइल तक पहुंचने की अनुमति देगा।

अन्य विकल्पों के लिए, README को देखें


2

यहाँ ऊपर वर्णित ssh पर दो-फैक्टर प्रमाणीकरण का उपयोग करके पहले से ही अभी भी आपके सिस्टम को आपके पासवर्ड पर संभावित ब्रूट बल के हमलों के लिए खुला छोड़ देता है। वह पहले से ही पहले कारक से समझौता कर सकता है: आपका पासवर्ड। तो व्यक्तिगत रूप से मैं निम्नलिखित लाइन तल पर लेकिन कम से न जोड़ने का निर्णय लिया शीर्ष के /etc/pam.d/sshdरूप में पहले से Cleary ध्यान दिया नहीं किया गया था फ़ाइल:

auth required pam_google_authenticator.so

यह आपके सत्यापन कोड के लिए पहले संकेत देता है, फिर आपके पासवर्ड के लिए (भले ही आपने सत्यापन कोड सही दर्ज किया हो)। इस कॉन्फ़िगरेशन के साथ, यदि आपने सत्यापन कोड या पासवर्ड गलत दर्ज किया है, तो आपको उन दोनों को फिर से दर्ज करना होगा। मैं मानता हूँ कि यह थोड़ा अधिक उपद्रव है, लेकिन हे: आप सुरक्षा चाहते थे या सुरक्षा की भावना?

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.