Двухфакторная аутентификация Google Authenticator: различия между версиями

Текущая версия от 11:06, 12 июля 2024

Введение

Двухфакторную аутентификацию для входа в систему (локально, через ssh, через OpenVPN и т.п.) можно настроить без использования аппаратных токенов, GSM-модемов для отправки СМС и прочего оборудования. Это можно сделать с использованием Google Authenticator.

Описание и принцип работы Google Authenticator можно найти в интернете. Краткая суть: пользователь на свой смартфон (Android/Apple) устанавливает небольшое бесплатное приложение, и вводит в него ключ, сгенерированный на компьютере. При попытке логина на этот компьютер, система запрашивает одноразовый пинкод, вычисленный на основе ключа и текущего времени. У пользователя на смартфоне такой же ключ и такое же системное время (допустимо расхождение в десятки секунд), поэтому он может вычислить нужный пинкод и ввести его с клавиатуры. Время жизни пинкода по умолчанию 30 секунд, то есть каждые 30 секунд вычисляется новый код. Для работы приложения на смартфоне не нужно подключение к интернету или сотовой сети. Если нет возможности воспользоваться смартфоном, можно ввести один из нескольких одноразовых паролей, сгенерированных во время настройки системы.

Необходимые пакеты

Для работы с Google Authenticator необходимо установить пакет libpam-google-authenticator. Так же желательно установить библиотеку libqrencode4 (или libqrencode для систем на основе p8 или младше).

На смартфон можно стандартными способами установить программу Google Authenticator или FreeOTP.

О генерации ключа для пользователя можно почитать в интернете. Кратко: от пользователя запустить google-authenticator, на первый вопрос ответить "да", ввести ключ в смартфон (вручную или через QR-код, если установлена библиотека libqrencode и он отобразился на экране), подтвердить сохранение изменений.

Включение двухфакторной аутентификации для логина по ssh

Пример:

В файле /etc/openssh/sshd_config включить опцию

KbdInteractiveAuthentication yes

Для дистрибутивов на базе p11 так же нужно включить поддержку в клиенте, добавив аналогичную строку в файл /etc/openssh/ssh_config.

/etc/pam.d/sshd:

#%PAM-1.0
auth            include         common-login
auth            [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth            required        pam_google_authenticator.so echo_verification_code nullok
account         include         common-login
password        include         common-login
session         include         common-login

В файле /etc/security/access-local.conf нужно указать, при логине из каких подсетей не будет применяться двухфакторная аутентификация:

# Two-factor can be skipped on local network
+ : ALL : 192.168.1.0/24
+ : ALL : 127.0.0.1
+ : ALL : LOCAL
- : ALL : ALL
# empty line at the end!!!

Если нужно, чтоб пинкод запрашивался всегда, можно удалить строку с упоминанием этого файла из /etc/pam.d/sshd.

Параметр echo_verification_code включает отображение цифр пинкода при их вводе. Параметр nullok разрешает вход без пинкода для тех пользователей, у которых не настроен Google Authenticator.

Включение двухфакторной аутентификации для логина через OpenVPN

Дописать этот раздел.

HOWTO

32й-OpenGL на 64x • 389-ds • ActiveDirectory/DC • ActiveDirectory/FileShare • ActiveDirectory/Squid • AHCI • Участник:Alehander/Монтирование каталогов • Android-devel • Apache Kafka • Appimage • Arepo In Hasher • Asciidoc • Autoinstall • BugTracking/BugzillaMiniHowto • CDEmu и все-все-все • Chroot • Clamav • PostgreSQL/Cluster • Cpufreq • CreateMdRAID1onLiveSystem • CUDA • Cлайд-шоу фоновых рисунков рабочего стола • D Programming Language • DB2 • Dconf • Discord • Tools/Distribute • DPMS • DualBoot в картинках • DualBoot в картинках new • X11/DualSeat • Dynflow • Ed • EDID • ElasticSearch • EnterpriseWine • Epic games • Etckeeper • EterTips • Fail2ban • Fdisk • FFmpeg • Fleet Commander • Folding@Home • FreeIPA • FreePascal HOWTO • FreeRADIUS • FreeRADIUS и корпоративный WiFi • Giter • GoogleTalkPlugin • Hasher/parallel • Hitachi StarBoard • Incoming/HOWTO • I2p • IconsPackaging • IPTV • ITalc • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • JaCarta • JaCarta/PKI • Java-applet • Java/OracleSDK/Install • JavaPlugin • JeOS VM noDHCP • KVM/Helper • LAME • ActiveDirectory/Login • PVE/LXC • Mailman and lighttpd • DotFiles/Shells/MC • Участник:MichaelShigorin/ПодсуньТарбол • Microsoft Access • MIDI • MsgToEml • MultiSeat systemd • Multistation • NetInstall • NetworkDevicesName • Nextcloud • NTFS • NTFS readonly • Numlock • OpenMeetings • Otrs • OwnCloud9 • Pam mount • PepperFlash в Chromium • Perfect Desktop • Pidgin • Pipelight • Pipx • Dovecot/Plugins • PostgreSQL • Prelink • PstToMbox • Puppet • Puppetserver • PyVFS • Rdesktop keymap fix • Recoll • Replace disk online • Rescue manuals • Rescue/Launcher • Rescue/Recovery • Ricoh SP 100 • Roundcube • Ruby Packaging mini-HOWTO • Rujel • Rujel HOWTO • RunaWFE • SambaADClient и клонирование диска • SAP GUI for Java • SCOM • Shared Library Symbol Versioning HOWTO • SharedFolderHowTo • Smart Proxy • Smart proxy dynflow-core • Socket race conditions • SOGo • OpenOffice.org/SSL-сертификат • SSSD/AD • Swap • Synaptic • Task • Telegram • Telegram Desktop • Thunderbird • Tips • TLP • Unity • LTSP/UpstreamMigration • USBIP • Veyon • Viber • Video streaming vlc • VipNet Client • ViPNet Coordinator/СПТ7 • VirtualBox • Vk play • VNC • VPN c динамической маршрутизацией (GRE Racoon OSPF) • Waydroid • WebDav • Wi-fi • Wicd • WINE • Xbox геймпад • XCAT • Xfce/Ограничения • Автологин с блокировкой сеанса • Автоматический вход • Браузер во весь экран • Виртуальная клавиатура в ALT Workstation • Виртуальная флешка • Включение TRIM на (внешнем) SSD • Воссоздание пользователя на отдельном home-разделе • Восстановление • Где и как искать программы • ГОСТ в Caja • ГОСТ в OpenSSL • Гостевой сеанс • Двухфакторная аутентификация Google Authenticator • Диагностика оборудования и системы • ЕАВИИАС • ЕСПД • Загрузочная USB Flash • Загрузочные флешки • Запуск typo3 • Заставка - слайд-шоу • Звук входа в систему • Зеркала • Инструкция по разворачиванию girar-builder • Как Ваш компьютер может дать доступ к себе через туннель средствами ssh, autossh, autosshd • Участник:IvanZakharyaschev/Как дать мне доступ по ssh на Ваш (мобильный) компьютер • Как запускать программы • Как найти пакет по программе • Как настроить почту в Thunderbird • Каталог с доступом для всех локальных пользователей • Киоск • Конcоль GRUB • КонсультантПлюс • Монтирование образов устройств • Настройка Alt Linux для Raspberry Pi с помощью QEMU • Настройка Fstab • Настройка принтера • Неверный размер шрифтов • О Сообществе ALT Linux • Обновление • Обход сбоя загрузки с USB • Особые действия Thunar • Очистка диска • Партионная почта • Перенос программ (backports) • Подключение Android • Пользовательские каталоги • Проверка диска на ошибки • Распознавание лица (howdy) • Режимы работы фреймбуфера • Участник:IvanZakharyaschev/Репликация почтового ящика • Сага о драйверах • Сборка пакетов • Связка Puppet и Foreman • Связка ключей • Секционирование (партицирование) БД Zabbix на СУБД PostgreSQL • Синхронизация файлов • Сканер отпечатков пальцев (fprintd) • Скачивание видео с Яндекс.Дзен • Скачивание сайта • Создание образов устройств • Создание самоподписанных сертификатов • Создание сервиса systemd • Специальные возможности • Oracle/СПТ • Теневое копирование+Точка восстановления • Точка на цифровой клавиатуре • Управление пользователями • Управление правами • Установка Cisco Packet Tracer 7.3.1 на ALT KWorkstation P9 • Установка и настройка Rujel • Установка корневого сертификата • Установка шрифтов • Что делать, если программа не работает • Что такое дистрибутив • Шаблоны документов • Шейпер для больших сетей • ЭП • Ярлычки программ • Категория:32x-video-on64x • Категория:Backup • Категория:BootFlash • Категория:Fdisk • Категория:FreePascal • Категория:Rescue manuals • Категория:Upgrade • Категория:WINE

@@ Строка 8: / Строка 8: @@
 На смартфон можно стандартными способами установить программу {{prg|Google Authenticator}} или {{prg|FreeOTP}}.
+О генерации ключа для пользователя можно почитать в интернете. Кратко: от пользователя запустить {{prg|google-authenticator}}, на первый вопрос ответить "да", ввести ключ в смартфон (вручную или через QR-код, если установлена библиотека libqrencode и он отобразился на экране), подтвердить сохранение изменений.
 == Включение двухфакторной аутентификации для логина по ssh ==
 Пример:
-{{prg|/etc/pam.d/ssh}}:
+В файле {{prg|/etc/openssh/sshd_config}} включить опцию
+<pre>
+KbdInteractiveAuthentication yes
+</pre>
+Для дистрибутивов на базе p11 так же нужно включить поддержку в клиенте, добавив аналогичную строку в файл {{prg|/etc/openssh/ssh_config}}.
+{{prg|/etc/pam.d/sshd}}:
 <pre>
 #%PAM-1.0
-auth            include         system-auth-local
+auth            include         common-login
 auth            [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
 auth            required        pam_google_authenticator.so echo_verification_code nullok
@@ Строка 22: / Строка 34: @@
 </pre>
+В файле {{prg|/etc/security/access-local.conf}} нужно указать, при логине из каких подсетей не будет применяться двухфакторная аутентификация:
+<pre>
+# Two-factor can be skipped on local network
++ : ALL : 192.168.1.0/24
++ : ALL : 127.0.0.1
++ : ALL : LOCAL
+- : ALL : ALL
+# empty line at the end!!!
+</pre>
+Если нужно, чтоб пинкод запрашивался всегда, можно удалить строку с упоминанием этого файла из {{prg|/etc/pam.d/sshd}}.
+Параметр {{prg|echo_verification_code}} включает отображение цифр пинкода при их вводе. Параметр {{prg|nullok}} разрешает вход без пинкода для тех пользователей, у которых не настроен Google Authenticator.
+== Включение двухфакторной аутентификации для логина через OpenVPN ==
+Дописать этот раздел.
 {{Category navigation|title=HOWTO|category=HOWTO|sortkey={{SUBPAGENAME}}}}