Anleitungen gibt es zuhauf, zum Beispiel unter http://www.linuxjournal.com/content/configuring-one-time-password-authentication-otpw?page=0,1
Allerdings musste ich das Vorgehen etwas abändern damit es klappt:
1. Bei der Passworteingabe darf kein Leerzeichen zwischen Masterpasswort und der TAN sein (wohl aber darf sich eines zwischen den Einzelnen Bruchstücken der Tan befinden).
2. Ändert man die common-auth, so funktionieren einige andere Programme (z.B. Proxmox Weblogin) nicht mehr korrekt.
Man kann daher in der /etc/pam.d/sshd einfach @include common-auth auskommentieren und statt dessen den otp-Login in eine andere Datei auslagern:
#@include common-auth
@include common-otpin der /etc/pam.d/common.otp kann man dann die gewünschte Reihenfolge für den Login festlegen:
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_otpw.so
session optional pam_otpw.so
auth required pam_deny.so
in diesem Fall wird nach dem Root-Passwort gefragt, man drückt Enter und hat dann die Möglichkeit stattdessen ein Einmalpasswort einzugeben(insofern ~/.otpw existiert).
gibt es weitere Probleme, an die pam_otpw.so einfach ein debug hängen und /var/log/auth beobachten ob man das Passwort auch wirklich korrekt eingegeben hat :-)
gibt es weitere Probleme, an die pam_otpw.so einfach ein debug hängen und /var/log/auth beobachten ob man das Passwort auch wirklich korrekt eingegeben hat :-)
Keine Kommentare:
Kommentar veröffentlichen