Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

Libpam konfigurieren

Im nächsten Schritt lernt die PAM-Bibliothek des Systems, den Authenticator auch tatsächlich zu benutzen. Die gesamte PAM-Konfiguration liegt im Ordner »/etc/pam.d« . PAM ist in Form von Modulen konstruiert; pro Applikation ist gesondert festzulegen, welche Module anzuwenden sind. Alle Dienste, die Googles Authenticator verwenden sollen, müssen in ihrer Konfiguration in »/etc/pam.d/Dienst« eine entsprechende Anweisung erhalten. Das Modul heißt »pam_google_authenticator« . Damit der SSH-Dienst beispielsweise die Authentifizierung per Authenticator verwenden kann, muss sich »/etc/pam.d/sshd« so ändern, dass die Datei mindestens die folgenden Zeile enthält:

auth required pam_google_authenticator.so

Im Falle von SSH ist außerdem zu beachten, dass in »/etc/ssh/sshd_options« die Einträge »ChallengeResponseAuthentication yes« und »UsePAM yes« vorhanden sind. Wenn diese Einträge ergänzt wurden, ist »sshd« neu zu starten.

Authenticator für alle

Analog lässt sich die Zwei-Phasen-Authentifizierung für andere Dienste ebenso konfigurieren. Um Sudo entsprechend einzurichten, ist »/etc/pam.d/sudo« korrekt anzupassen. Ein Reload der entsprechenden Dienste ist übrigens nur notwendig, wenn auch die Konfigurationsdateien der Services selbst für die Zwei-Phasen-Anmeldung verändert wurden, denn die PAM-Bibliothek liest die PAM-Einstellungen für einen Dienst jedes Mal automatisch wieder ein, wenn der über PAM eine Authentifizierung abwickelt.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021