hurricanehrndz.pam_yubikey

概要 バージョン 洞察

hurricanehrndz.yubikey

ビルドステータス Galaxyロール MITライセンス

このロールはYubico PAMモジュール(libpam-yubico)をインストールし、設定します。設定には、Ubuntuの未変更の「common-auth」に対してテストされた2つの追加PAM設定ファイルが含まれています。1つは通常のUnix認証をスキップし、もう1つはスキップしません。最後に、sshd PAM設定を変更し、yubikeyグループに属し、UIDが1000以上で、有効なOTPを提供し、正しいアカウントパスワードを持つユーザーのみが認証されるようにします。sudoのPAM設定も同様に変更され、成功する認証にはアカウントパスワードは必要ありません。

必要条件

ロール変数

以下の変数は他のロールやグローバルスコープ(例:hostvars、group varsなど)から読み取られ、対象ホストで変更が行われる前提条件です。

  • yubikey_api_id(数値) - Yubico API ID。
  • yubikey_api_key(文字列) - Yubico APIキー。

ロールスイッチ

デフォルトでは、このロールはpam設定をインストールおよび編集し、sshデーモンが成功する認証にYubico OTPとパスワードの両方を要求します。これにより、yubikeyグループのユーザーにアクセスを許可する前に3ステップの検証プロセスが行われます。sudo認証の場合、このロールはパスワード検証をYubico OTPに置き換えます。デフォルトのデプロイ設定は以下の変数で調整できます。

yubikey_sshd_and_pass

デフォルトはtrueで、成功する認証にはYubico OTPとパスワードの両方を必要とします。falseに設定すると、Yubico OTPのみが必要となります。これは、sshdがフラグによって示された方法に加えて、sshd_configで指定された方法(証明書など)を要求することになります。

yubikey_sudo_and_pass

デフォルトはfalseで、sudo権限を取得するためにはYubico OTPのみが必要です。falseに設定すると、sudoにYubico OTPとパスワードが必要になります。

yubikey_sudo_chal_rsp

デフォルトはfalseで、チャレンジレスポンス認証方式は有効になっていません。trueに設定すると、Yubicoチャレンジレスポンス認証を使用してsudo権限を付与します。

yubikey_users

Yubico OTPとチャレンジレスポンス認証を設定するユーザーのリストです。詳細はロールデフォルトを参照してください。

依存関係

なし。

例プレイブック

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: リポジトリキャッシュの更新
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: pam-yubikeyロールを実行
      include_role:
        name: hurricanehrndz.yubikey

ライセンス

MIT

著者情報

カルロス・ヘルナンデス | メール

プロジェクトについて

Ansible role to install and configure yubico pam module

role pam yubikey
インストール
ansible-galaxy install hurricanehrndz.pam_yubikey
GitHub リポジトリ
10 スター
3 フォーク
0 オープンな問題
ライセンス
mit
ダウンロード
3.8k
所有者
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.