pam_yubikey

Обзор Версии Аналитика

hurricanehrndz.yubikey

Статус сборки Роль Galaxy Лицензия MIT

Эта роль устанавливает и настраивает модуль PAM от Yubico (libpam-yubico). Конфигурация включает два дополнительных файла конфигурации PAM, которые были протестированы на неизменённом "common-auth" в Ubuntu. Один файл пропускает обычную аутентификацию Unix, а другой — нет. Наконец, он изменяет настройки PAM sshd, так что только пользователи, находящиеся в группе yubikey, с UID >= 1000, которые предоставляют действующий OTP с авторизованного yubikey и правильный пароль аккаунта, успешно аутентифицируются. Конфигурация PAM sudo также модифицирована, чтобы требовать аналогичные условия для успешной аутентификации, кроме того, что пароль аккаунта не нужен.

Требования

Переменные роли

Следующие переменные берутся из других ролей и/или глобальной области (например, hostvars, group vars и т.д.) и являются необходимыми для внесения изменений на целевом хосте/хостах.

  • yubikey_api_id (число) - ID API Yubico.
  • yubikey_api_key (строка) - Ключ API Yubico.

Переключатели роли

По умолчанию эта роль устанавливает и редактирует конфигурации pam, так что демон ssh требует как Yubico OTP, так и пароль для успешной аутентификации. Это приводит к трёхэтапному процессу проверки перед предоставлением доступа пользователям в группе yubikey. Для верификации sudo эта роль заменяет проверку пароля на Yubico OTP. Конфигурацию по умолчанию можно настроить с помощью следующих переменных.

yubikey_sshd_and_pass

По умолчанию равно true, требуя как Yubico OTP, так и пароль для успешной аутентификации. Установите на false, чтобы требовать только Yubico OTP. Это заставляет sshd требовать методы, указанные данной настройкой, в дополнение к тем, что указаны в sshd_config (сертификат).

yubikey_sudo_and_pass

По умолчанию false, требуя только Yubico OTP для предоставления привилегий sudo. Установите на false, чтобы защитить sudo с помощью Yubico OTP и пароля.

yubikey_sudo_chal_rsp

По умолчанию false, методы аутентификации Challenge Response не включены. Установите на true, чтобы предоставить привилегии sudo с помощью аутентификации Yubico Challenge Response.

yubikey_users

Список пользователей, которых нужно настроить для аутентификации Yubico OTP и Challenge Response. См. умолчания роли для примера.

Зависимости

Нет.

Пример плейбука

---
- hosts: all
  vars:
    yubikey_api_id: 1
    yubikey_api_key: "testkey"
  pre-tasks:
    - name: Обновить кэш репозитория
      action: >
        {{ ansible_pkg_mgr }} update_cache=yes
  tasks:
    - name: Запустить роль pam-yubikey
      include_role:
        name: hurricanehrndz.yubikey

Лицензия

MIT

Информация об авторе

Карлос Эрнандес | e-mail

О проекте

Ansible role to install and configure yubico pam module

role pam yubikey
Установить
ansible-galaxy install hurricanehrndz/ansible-pam_yubikey
GitHub репозиторий
9 звезд(ы)
5 форк(ов)
0 открытых задач
Лицензия
mit
Загрузки
3639
Владелец
Carlos Hernandez
Software Mage/Wizard/Developer @Yelp | Technology fanatic with an unquenchable thirst for knowledge.