Iti raspund doar la astea, ca de ele m-am lovit cand mi-am configurat YubiKey-urile cu pam si ssh.
On 01/21/2013 11:02 PM, Petru Ratiu wrote: > - daca pun asta in pam, ma intreaba ssh-ul doar cand ma leg cu parola sau > si la cheie? Daca nu se poate excepta cheia, se pot excepta anumite ip-uri? > Cred ca se poate, dar my pam-fu is not so strong. Ssh nu mai executa stiva pam daca are cheie. Daca vrei insa sa te intrebe si de parola si de cheie, inclusiv in functie de useri, trebuie sa te joci cu ForceCommand, de exemplu ca aici: https://www.berrange.com/posts/2011/12/18/multi-factor-ssh-authentication-using-yubikey-and-ssh-public-keys-together/ > - tot din seria weak pam-fu, se poate activa doar pe anumiti useri si/sau > servicii? Da si probabil ca da. Pentru servicii, /etc/pam.conf poate incepe cu numele serviciului inainte de reguli, sau poti pune fisierul potrivit in /etc/pam.d . Pentru user, nu am facut niciodata exact cum vrei tu, eu execut un script cu pam_exec si verific daca userul are nevoie sa aiba yubikey inserat si daca nu este device-ul fizic acolo, il dau reject: http://blog.mybox.ro/2012/11/27/two-factor-local-offline-authentication-using-yubikey/ -- Ovidiu Constantin <[email protected]> _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
