hurricanehrndz.pam_yubikey

Aperçu Versions Perspectives

hurricanehrndz.yubikey

Statut de Build Rôle Galaxy Licencié MIT

Ce rôle installe et configure le module PAM Yubico (libpam-yubico). La configuration inclut deux fichiers de configuration PAM supplémentaires qui ont été testés avec "common-auth" modifié d'Ubuntu. Un qui ignore l'authentification Unix classique et un qui ne l'ignore pas. Enfin, il modifie la configuration PAM de sshd pour que seuls les utilisateurs qui sont dans le groupe yubikey, ont un UID >= 1000, fournissent un OTP valide d'un yubikey autorisé et le bon mot de passe du compte soient authentifiés avec succès. La configuration PAM de sudo est modifiée pour exiger la même chose pour une authentification réussie, sauf qu'il n'est pas nécessaire d'entrer le mot de passe du compte.

Exigences

Variables du Rôle

Les variables suivantes sont lues à partir d'autres rôles et/ou de l'espace global (c'est-à-dire hostvars, group vars, etc.), et sont une condition préalable pour que des changements se produisent sur l'hôte/les hôtes ciblés.

  • yubikey_api_id (nombre) - ID API Yubico.
  • yubikey_api_key (chaîne) - Clé API Yubico.

Options du Rôle

Par défaut, ce rôle installe et modifie les configurations PAM afin que le daemon ssh nécessite à la fois le mot de passe et l'OTP Yubico pour une authentification réussie. Cela donne lieu à un processus de vérification en trois étapes avant d'accorder l'accès aux utilisateurs du groupe yubikey. Pour la vérification sudo, ce rôle remplace la vérification du mot de passe par l'OTP Yubico. La configuration de déploiement par défaut peut être ajustée avec les variables suivantes.

yubikey_sshd_and_pass

Par défaut à vrai, nécessitant l'OTP Yubico et le mot de passe pour une authentification réussie. Mettez à faux pour exiger uniquement l'OTP Yubico. Cela entraîne des méthodes imposées par l'option en plus de celles spécifiées dans sshd_config (certificat).

yubikey_sudo_and_pass

Par défaut à faux, nécessitant uniquement l'OTP Yubico pour obtenir des privilèges sudo. Mettez à vrai pour protéger sudo avec l'OTP et le mot de passe Yubico.

yubikey_sudo_chal_rsp

Par défaut à faux, les méthodes d'authentification Challenge Response ne sont pas activées. Mettez à vrai pour accorder des privilèges sudo avec l'authentification Challenge Response de Yubico.

yubikey_users

Liste des utilisateurs à configurer pour l'authentification OTP et Challenge Response Yubico. Voir les valeurs par défaut du rôle pour un exemple.

Dépendances

Aucune.

Exemple de Playbook

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: Mettre à jour le cache du repo
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: Exécuter le rôle pam-yubikey
      include_role:
        name: hurricanehrndz.yubikey

Licence

MIT

Informations sur l'Auteur

Carlos Hernandez | e-mail

À propos du projet

Ansible role to install and configure yubico pam module

role pam yubikey
Installer
ansible-galaxy install hurricanehrndz.pam_yubikey
GitHub référentiel
10 étoiles
3 forks
0 problèmes ouverts
Licence
mit
Téléchargements
3.8k
Propriétaire
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.