generell kann man jede Distribution für die Zwei-Wege Authentifizierung benutzen. Man braucht lediglich das Paket google-authenticator. Ich zeige euch die Schritte anhand einer Gentoo installation.
Da sich der google-authenticator nicht in den Standard-Paketen des Gentoo Derivates befindet, muss man sich einer Fremdbibliothek behelfen.
Projekt:Sunrise wird von Entwicklern und normalen Nutzern gewartet und beherbergt etliche Zusatzpakete. Man kann diese mit folgenden Befehlen in ein Gentoo-System einbinden:
1 2 3 |
# emerge -va git layman # layman -f -a sunrise # echo "source /var/lib/layman/make.conf" >> /etc/make.conf |
Die Datenbank selber kann man dann mit folgendem Befehl aktuell halten:
1 |
# layman -s sunrise |
1 |
/etc/portage/package.accept_keywords |
1 |
=sys-auth/google-authenticator-1.0 ~amd64 |
1 2 |
<span style="color: #000000;"># emerge --ask sys-auth/google-authenticator </span># emerge --ask media-gfx/qrencode |
Nun sollten alle benötigten Packete im System installiert sein. Mit dem Befehl google-authenticator wird eine Konfiguration erstellt.
1 |
# google-authenticator |
An dieser Stelle kann man am Telefon schon mit dem Google-Authenticator den QR-Code Scannen. Nun muss man dem System nur beibringen dass es zusätzlich das Google-Auth benutzt. Hier gibt es zwei Möglichkeiten – Nur für SSH oder generell bei jeder Authentifizierung (auch Lokal).
SSH braucht auf jedenfall eine leicht abgeänderte Konfiguration:
1 |
/etc/ssh/sshd_config |
1 |
ChallengeResponseAuthentication yes |
Generelle Authentifizierung mit Google-Authenticator:
1 |
/etc/pam.d/system-auth |
1 |
auth required pam_google_authenticator.so |
Nur Google-Authentifizierung mit SSH
1 |
/etc/pam.d/sshd |
1 |
auth required pam_google_authenticator.so |
Alles Speichern und es sollte schon funktionieren.
ACHTUNG: Lasst eure Session so lange offen bis Ihr den Login getestet habt – ansonsten kann man sich leicht aussperren.
Leave a reply
Du musst angemeldet sein, um einen Kommentar abzugeben.