Pregunta:
Después de habilitar el autenticador de Google (autenticación de 2 pasos) en uno de mis servidores de prueba que ejecutan ubuntu 16.04 (LTS), noté que ya no podía iniciar sesión con un usuario que no tiene un perfil de autenticador de Google en el servidor. Tuve que crear un perfil de autenticación de Google (clave) para permitir que este usuario inicie sesión.
Mi pregunta ahora es: ¿sería posible que ciertos usuarios usen el autenticador de Google y otros usuarios solo inicien sesión SSH sin el autenticador de Google?
Detalle:
user1 tiene un perfil con el autenticador de Google.
user2 no tiene un perfil con el autenticador de Google.
user1 inicia sesión a través de SSH, completa su contraseña y el código proporcionado por la aplicación de autenticación de Google, puede iniciar sesión.
user2 inicia sesión a través de SSH, completa su contraseña y puede iniciar sesión (no necesita ingresar un código.
Sería ideal tener 2 grupos de usuarios, uno que necesita el código de autenticación de Google y otro que no lo necesita.
Respuesta:
Con la siguiente solución, el módulo PAM (autenticador de Google) se puede deshabilitar para usuarios específicos:
1) Cree un grupo de usuarios en la instancia de Linux. MFA / PAM se desactivará para los usuarios presentes en este nuevo grupo-
sudo groupadd <groupname>
2) Crear usuario o agregar un usuario existente al grupo recién creado
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Edite el archivo /etc/pam.d/sshd y agregue la siguiente declaración para omitir el módulo PAM para el grupo recién creado-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Opcional-
Si se requiere acceso completo para este nuevo grupo, agregue la siguiente línea al archivo visudo-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Cuando se cree un usuario y se agregue al nuevo grupo, se omitirá MFA para esos usuarios.
Referenciado desde – Blog TechManyu