Монтаж
Установите PAM-модуль Google Authenticator следующим образом:
sudo apt-get install libpam-google-authenticator
Теперь запустите google-authenticator
(внутри терминала) для каждого пользователя, с которым вы хотите использовать Google Authenticator, и следуйте инструкциям. Вы получите QR-код для сканирования со своего смартфона (или ссылку) и аварийные коды.
конфигурация
Чтобы активировать Google Authenticator, загляните в каталог /etc/pam.d/ . Существует файл для каждого способа аутентификации на вашем компьютере. Вам необходимо отредактировать файлы конфигурации для каждого сервиса, который вы хотите использовать с Google Authenticator. Если вы хотите использовать его с SSH, отредактируйте sshd , если вы хотите использовать его в LightDM, отредактируйте lightdm . В этих файлах добавьте одну из следующих строк:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Используйте первую строку, пока вы все еще переносите своих пользователей в Google Authenticator. Пользователи, у которых это не настроено, могут все еще войти в систему. Вторая строка принудительно использует Google Authenticator. Пользователи, у которых его нет, больше не могут войти. Для sshd очень важно, чтобы вы поместили строку в верхнюю часть файла, чтобы предотвратить атаку паролем.
Чтобы добавить его в LightDM, вы можете запустить это:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Теперь, когда вы входите в систему, вас отдельно спросят ваш пароль и код двухэтапной аутентификации.
Зашифрованные домашние каталоги
Если вы используете home-encryption (ecryptfs), файл $ HOME / .google_authenticator не будет читаем для PAM-модуля (поскольку он все еще зашифрован). В этом случае вам нужно переместить его в другое место и сообщить PAM, где его найти. Возможная строка может выглядеть так:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Вам нужно создать каталог для каждого пользователя в /home/.ga, который имеет имя пользователя, и изменить владельца этого каталога на пользователя. Затем пользователь может запустить google-authenticator
и переместить созданный файл .google-authenticator в этот каталог. Пользователь может запустить следующие строки:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Это позволит модулю получить доступ к файлу.
Для других вариантов, проверьте README .