hurricanehrndz.pam_yubikey

Überblick Versionen Einblicke

hurricanehrndz.yubikey

Build Status Galaxy-Rolle MIT lizenziert

Diese Rolle installiert und konfiguriert das Yubico PAM-Modul (libpam-yubico). Die Konfiguration umfasst zwei zusätzliche PAM-Konfigurationsdateien, die gegen das unveränderte "common-auth" von Ubuntu getestet wurden. Eine überspringt die reguläre Unix-Authentifizierung, die andere nicht. Schließlich wird die SSHD-PAM Konfiguration so geändert, dass nur Benutzer, die in der Yubikey-Gruppe sind, eine UID >= 1000 haben, ein gültiges OTP von einem autorisierten Yubikey bereitstellen und das richtige Kontopasswort haben, erfolgreich authentifiziert werden. Die Sudo-PAM-Konfiguration wird so modifiziert, dass für eine erfolgreiche Authentifizierung das gleiche erforderlich ist, bis auf das Kontopasswort.

Anforderungen

Rollenvariablen

Die folgenden Variablen werden aus anderen Rollen und/oder dem globalen Bereich (z.B. Hostvars, Gruppenvars usw.) gelesen und sind Voraussetzung für Änderungen auf dem Zielhost/diesen Zielen.

  • yubikey_api_id (Zahl) - Yubico API-ID.
  • yubikey_api_key (Zeichenfolge) - Yubico API-Schlüssel.

Rollenschalter

Standardmäßig installiert und bearbeitet diese Rolle PAM-Konfigurationen, sodass der SSH-Daemon sowohl Yubico OTP als auch Passwort für eine erfolgreiche Authentifizierung benötigt. Dies führt zu einem drei Schritt Verifizierungsprozess, bevor Benutzern in der Yubikey-Gruppe Zugriff gewährt wird. Für die Sudo-Überprüfung ersetzt diese Rolle die Passwortüberprüfung durch Yubico OTP. Die Standardbereitstellungskonfiguration kann mit den folgenden Variablen angepasst werden.

yubikey_sshd_and_pass

Standardmäßig wahr, erfordert Yubico OTP und Passwort für eine erfolgreiche Authentifizierung. Auf falsch setzen, um nur Yubico OTP zu verlangen. Dies führt dazu, dass sshd Methoden verlangt, die durch das Flag implied werden, zusätzlich zu den in sshd_config spezifizierten (z.B. Zertifikat).

yubikey_sudo_and_pass

Standardmäßig falsch, erfordert nur Yubico OTP, um Sudo-Rechte zu erhalten. Auf falsch setzen, um Sudo mit Yubico OTP und Passwort zu schützen.

yubikey_sudo_chal_rsp

Standardmäßig falsch, Challenge Response Authentifizierungsmethoden nicht aktiviert. Auf wahr setzen, um Sudo-Rechte mit Yubico Challenge Response Authentifizierung zu gewähren.

yubikey_users

Liste von Benutzern, die für Yubico OTP und Challenge Response Authentifizierung konfiguriert werden sollen. Siehe Rollenstandards für ein Beispiel.

Abhängigkeiten

Keine.

Beispiel-Playbook

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: Repo-Cache aktualisieren
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: PAM-Yubikey-Rolle ausführen
      include_role:
        name: hurricanehrndz.yubikey

Lizenz

MIT

Autorinformation

Carlos Hernandez | E-Mail

Über das Projekt

Ansible role to install and configure yubico pam module

role pam yubikey
Installieren
ansible-galaxy install hurricanehrndz.pam_yubikey
GitHub Repository
10 Sterne
3 Forks
0 Offene Issues
Lizenz
mit
Downloads
3.8k
Besitzer
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.