Řešení 1:
Pravděpodobně byste to mohli vyřešit pomocí pam_listfile modul. Vytvořte /etc/pam.d/sshd soubor, který vypadá nějak takto:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
To by umožnilo pouze lidem uvedeným v /etc/authusers možnost autentizace pomocí dvoufaktorového modulu (v našem případě secureid). Ve skutečnosti jsem tuto konfiguraci netestoval, ale teorie je správná.
Můžete to zjednodušit tím, že povolíte komukoli autentizovat pomocí dvoufaktorové autentizace; pravděpodobně by byli schopni uspět pouze ti lidé s příslušnými zařízeními/konfigurací, takže byste dosáhli prakticky stejného chování.
Řešení 2:
Chcete-li zakázat dvoufaktorové ověření pro uživatele bez Google Authenticator nakonfigurován, přidejte nullok možnost v /etc/pam.d/sshd :
auth required pam_google_authenticator.so nullok
Další podrobnosti najdete na:https://github.com/google/google-authenticator-libpam#setting-up-a-user
Řešení 3:
Pomocí níže uvedeného řešení lze modul PAM (google authenticator) zakázat pro konkrétní uživatele-
1) Vytvořte skupinu uživatelů v instanci Linuxu. MFA/PAM budou zakázány pro uživatele přítomné v této nové skupině-
sudo groupadd <groupname>
2) Vytvořte uživatele nebo přidejte stávajícího uživatele do nově vytvořené skupiny-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Upravte soubor /etc/pam.d/sshd a přidejte níže uvedený příkaz pro přeskočení modulu PAM pro nově vytvořenou skupinu-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Volitelné-
Pokud je pro tuto novou skupinu vyžadován úplný přístup, přidejte do souboru visudo níže řádek-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Když bude uživatel vytvořen a přidán do nové skupiny, MFA bude pro tyto uživatele přeskočena.
Odkazováno z blogu -TechManyu