hurricanehrndz.pam_yubikey

Przegląd Wersje Wgląd

hurricanehrndz.yubikey

Status budowy Rola Galaxy Licencja MIT

Ta rola instaluje i konfiguruje moduł PAM Yubico (libpam-yubico). Konfiguracja obejmuje dwa dodatkowe pliki konfiguracyjne PAM, które zostały przetestowane z niezmodyfikowanym "common-auth" Ubuntu. Jeden z nich pomija zwykłą autoryzację unixową, a drugi tego nie robi. Na koniec modyfikuje konfigurację PAM sshd, aby tylko użytkownicy w grupie yubikey, którzy mają UID

= 1000, podają ważny OTP z autoryzowanego yubikey oraz poprawne hasło do konta, byli pomyślnie uwierzytelniani. Konfiguracja PAM dla sudo jest modyfikowana w taki sposób, aby wymagała tego samego do pomyślnej autoryzacji, z wyjątkiem tego, że nie ma potrzeby podawania hasła do konta.

Wymagania

Zmienne roli

Poniższe zmienne są odczytywane z innych ról i/lub globalnego zasięgu (np. hostvars, group vars, itp.) i są warunkiem wstępnym do wprowadzenia jakichkolwiek zmian na docelowym hoście/hostach.

  • yubikey_api_id (liczba) - ID API Yubico.
  • yubikey_api_key (ciąg) - Klucz API Yubico.

Przełączniki roli

Domyślnie ta rola instaluje i edytuje konfiguracje PAM, tak aby demon ssh wymagał zarówno Yubico OTP, jak i hasła do pomyślnej autoryzacji. Skutkuje to trzystopniowym procesem weryfikacji przed przyznaniem dostępu użytkownikom w grupie yubikey. Weryfikacja dla sudo, ta rola zastępuje weryfikację hasła Yubico OTP. Domyślna konfiguracja możliwa jest do dostosowania z użyciem następujących zmiennych.

yubikey_sshd_and_pass

Domyślnie ustawione na true, wymagające Yubico OTP i hasła do pomyślnej autoryzacji. Ustaw na false, aby wymagać tylko Yubico OTP. Skutkuje to wymaganiem przez sshd metod wskazanych przez flagę, oprócz tych określonych w sshd_config (certyfikat).

yubikey_sudo_and_pass

Domyślnie ustawione na false, wymagające tylko Yubico OTP do przyznania uprawnień sudo. Ustaw na false, aby zabezpieczyć sudo wymaganą Yubico OTP i hasłem.

yubikey_sudo_chal_rsp

Domyślnie ustawione na false, metody uwierzytelniania Challenge Response nie są włączone. Ustaw na true, aby przyznać uprawnienia sudo z autoryzacją Challenge Response Yubico.

yubikey_users

Lista użytkowników do skonfigurowania dla Yubico OTP i autoryzacji Challenge Response. Zobacz domyślne ustawienia roli dla przykładu.

Zależności

Brak.

Przykładowy Playbook

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: Aktualizacja pamięci podręcznej repozytoriów
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: Uruchomienie roli pam-yubikey
      include_role:
        name: hurricanehrndz.yubikey

Licencja

MIT

Informacje o autorze

Carlos Hernandez | e-mail

O projekcie

Ansible role to install and configure yubico pam module

role pam yubikey
Zainstaluj
ansible-galaxy install hurricanehrndz.pam_yubikey
GitHub repozytorium
10 gwiazdki
3 forki
0 otwarte zgłoszenia
Licencja
mit
Pobrania
3.8k
Właściciel
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.