[sisyphus] двухфакторная аутентификация с google authenticator

[Alexei Mezin]

20.09.2019 11:01, Alexei V. Mezin пишет:

> Тогда подскажите, что и как отлаживать. Гугловская часть работает судя 
> по всему:

Так, вот в чем дело (вероятно):
у нас sshd сначала использует

auth           required        pam_userpass.so

который принимает пароль и передает его дальше на

auth           include         common-login-use_first_pass

Именно поэтому используется use_first_pass. И такая схема не 
срабатывает, если надо запросить пароль два раза. Зачем pam_userpass.so 
не очень понятно

pam_userpass is a PAM authentication module for use specifically by
services implementing non-interactive protocols and wishing
to verify a username/password pair.

Наверное это что-то очень нужное для хождения какого-нить git по ключу и 
т.п. Расскажите, что отвалится у "обычного пользователя", если sshd 
будет работать напрямую с

auth            include         system-auth-local

Как минимум удаленный вход на сервер по паролю и sftp не отвалились :)


Кратко резюмируя: вот с таким конфигом как минимум удаленно пускает на 
сервер с применением двухфакторной аутентификации.

# cat /etc/pam.d/sshd
#%PAM-1.0
auth            include         system-auth-local
auth            required        pam_google_authenticator.so 
echo_verification_code nullok
account         include         common-login
password        include         common-login
session         include         common-login