Montag, 5. Januar 2015

One-Time-Passwörter wheezy

OTPs kommen zum Einsatz wenn man von einem unsicheren Computer auf seinen Server zugreifen möchte.

Anleitungen gibt es zuhauf, zum Beispiel unter http://www.linuxjournal.com/content/configuring-one-time-password-authentication-otpw?page=0,1
Allerdings musste ich das Vorgehen etwas abändern damit es klappt:

1. Bei der Passworteingabe darf kein Leerzeichen zwischen Masterpasswort und der TAN sein (wohl aber darf sich eines zwischen den Einzelnen Bruchstücken der Tan befinden).

2. Ändert man die common-auth, so funktionieren einige andere Programme (z.B. Proxmox Weblogin) nicht mehr korrekt.
Man kann daher in der /etc/pam.d/sshd einfach @include common-auth auskommentieren und statt dessen den otp-Login in eine andere Datei auslagern:
#@include common-auth 
@include common-otp
in der /etc/pam.d/common.otp kann man dann die gewünschte Reihenfolge für den Login festlegen:
auth       sufficient pam_unix.so nullok_secure
auth       sufficient pam_otpw.so
session    optional   pam_otpw.so
auth       required  pam_deny.so
in diesem Fall wird nach dem Root-Passwort gefragt, man drückt Enter und hat dann die Möglichkeit stattdessen ein Einmalpasswort einzugeben(insofern ~/.otpw existiert).

gibt es weitere Probleme, an die pam_otpw.so einfach ein debug hängen und /var/log/auth beobachten ob man das Passwort auch wirklich korrekt eingegeben hat :-)