hurricanehrndz.pam_yubikey

Descripción general Versiones Perspectivas

hurricanehrndz.yubikey

Estado de Construcción Rol de Galaxy Licencia MIT

Este rol instala y configura el módulo PAM de Yubico (libpam-yubico). La configuración incluye dos archivos de configuración PAM adicionales que han sido probados con el "common-auth" sin modificar de Ubuntu. Uno que omite la autenticación unix regular y otro que no. Por último, modifica la configuración PAM de sshd para que solo los usuarios que están en el grupo de yubikey, tienen un UID >= 1000, proporcionan un OTP válido de un yubikey autorizado y la contraseña correcta de la cuenta se autentiquen con éxito. La configuración PAM de sudo se modifica para requerir lo mismo para una autenticación exitosa, excepto que no se necesita la contraseña de la cuenta.

Requisitos

Variables del Rol

Las siguientes variables se leen de otros roles y/o del ámbito global (es decir, hostvars, group vars, etc.), y son un requisito previo para que ocurran cambios en el host/huesped objetivo.

  • yubikey_api_id (número) - ID de API de Yubico.
  • yubikey_api_key (cadena) - Clave API de Yubico.

Opciones del Rol

Por defecto, este rol instala y edita configuraciones de pam para que el daemon ssh requiera tanto Yubico OTP como contraseña para la autenticación exitosa. Esto resulta en un proceso de verificación de tres pasos antes de otorgar acceso a los usuarios en el grupo de yubikey. Para la verificación de sudo, este rol reemplaza la verificación de contraseña por Yubico OTP. La configuración de implementación predeterminada se puede ajustar con las siguientes variables.

yubikey_sshd_and_pass

Por defecto es verdadero, requiere Yubico OTP y contraseña para la autenticación exitosa. Establecer en falso, para requerir solo Yubico OTP. Resulta en que sshd requiera métodos implicados por la bandera además de los especificados en sshd_config (certificado).

yubikey_sudo_and_pass

Por defecto es falso, requiere solo Yubico OTP para conceder privilegios de sudo. Establecer en falso, para proteger sudo con Yubico OTP y contraseña.

yubikey_sudo_chal_rsp

Por defecto es falso, los Métodos de Autenticación de Desafío y Respuesta no están habilitados. Establecer en verdadero, para otorgar privilegios de sudo con autenticación de Desafío y Respuesta de Yubico.

yubikey_users

Lista de usuarios a configurar para la autenticación de Yubico OTP y Desafío y Respuesta. Ver valores predeterminados del rol para un ejemplo.

Dependencias

Ninguna.

Ejemplo de Playbook

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: Actualizar caché del repositorio
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: Ejecutar rol pam-yubikey
      include_role:
        name: hurricanehrndz.yubikey

Licencia

MIT

Información del Autor

Carlos Hernandez | correo electrónico

Acerca del proyecto

Ansible role to install and configure yubico pam module

role pam yubikey
Instalar
ansible-galaxy install hurricanehrndz.pam_yubikey
GitHub repositorio
10 estrellas
3 bifurcaciones
0 problemas abiertos
Licencia
mit
Descargas
3.8k
Propietario
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.