Puis-je utiliser à la fois le PAM RSA 2-Factor et un PAM Active Directory en même time?

Utilisons le produit précédemment connu comme un exemple. Je peux très facilement l'installer sur une machine Linux et la join dans un domaine Active Directory.

Je peux également utiliser un module RSA PAM pour que les users soient forcés de s'authentifier avec un code PIN et un code PIN à deux facteurs, en utilisant un nom d'user connu du server d'authentification RSA.

Puis-je utiliser ces deux set? En d'autres termes, je suppose que ce que je request, est-ce que je peux utiliser deux modules PAM en même time? (Je ne suis pas un type Linux, alors prenez-en plus facile, s'il vous plaît.)

  • SSH fonctionne avec le mot de passe Kerberos expiré
  • Les utilisateurs ne peuvent pas utiliser crontab après la mise à niveau de la sécurité du mot de passe
  • Cyrus sur CentOS avec sasl / pam / ldap
  • service pam (sshd) ignorant les tentatives maximales
  • Le SSSD devrait-il effectuer une validation d'access AD pour correspondre aux users locaux?
  • Utilisez une structure AND / OR plus complexe avec PAM
  • Ulimits pratiques
  • Sécurisation de l'access userPassword avec OpenLDAP en RHEL
  • One Solution collect form web for “Puis-je utiliser à la fois le PAM RSA 2-Factor et un PAM Active Directory en même time?”

    Avec Linux PAM, vous pouvez stringr des modules d'authentification. Il suffit de définir tout le module PAM nécessaire que vous souhaitez vérifier dans le file de configuration approprié.

    À partir de la documentation:

    Lorsqu'un server invoque l'une des six primitives PAM, PAM récupère la string pour l'installation à laquelle appartient la primitive et invoque chacun des modules répertoriés dans la string, dans l'ordre dans lequel ils sont répertoriés jusqu'à ce qu'il atteigne la fin ou détermine que aucun traitement ultérieur n'est nécessaire (soit parce qu'un module liant ou suffisant a réussi, soit parce qu'un module requirejs a échoué). La request est accordée si et seulement si au less un module a été invoqué et tous les modules non optionnels ont réussi.

    Donc, si toutes les methods d'authentification doivent être couronnées de succès, utilisez les requirejsite . Cependant, si la première des deux methods d'authentification échoue, elle se terminera immédiatement.

    Si vous souhaitez cacher le fait que certains auth-methode ont échoué, l'utilisation required . Même si un module échoue, il continuera de vérifier d'autres methods, juste pour échouer à la fin.

    Si vous n'avez besoin que de l'une de ces methods pour réussir (signifie que plusieurs peuvent échouer, une seule authentification réussie est suffisante), utilisez sufficient .

    Pour plus de détails, reportez-vous aux politiques de Pam Chain .

    Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.