Autenticador de Google para escritorio (plugin lightdm o gdm)

10

Ha habido una pregunta similar , pero eso no es exactamente lo que quiero.

Me gustaría saber si hay un complemento o complemento para lightdm o gdm que me permita autenticar usando mi contraseña Y el autenticador de google. Estoy hablando de ingresar su código GA en el inicio de sesión en el escritorio, tanto en la GUI como en la línea de comandos, inicio de sesión de shell, para obtener acceso a su escritorio local.

JulioHM
fuente

Respuestas:

8

Eche un vistazo a esta publicación del blog titulada: Autenticación de dos pasos de Google en su escritorio ¿Qué es?

Instalación

sudo apt-get install libpam-google-authenticator

Uso

google-authenticator

   ss # 1                                                 ss # 2

De acuerdo con la publicación del blog, hay una versión de lightdm-kde que incluye la autenticación de 2 factores que puede aprovechar Google Authenticator cuando agrega el módulo PAM incluido en su entorno.

auth required pam_google_authenticator.so

Resultando en sus inicios de sesión GUI que se ven así:

ss # 3 ss # 4

fuente aquí

Temperatura
fuente
3
Bienvenido a AskUbuntu. ¿Puedes incluir las partes esenciales del enlace aquí? ¡Gracias!
Penreturns
¡Excelente! ¿Esto hará que todos los usuarios requieran GA? ¿Cómo funcionaría eso en un arranque de recuperación? Supongo que el usuario raíz necesitará tener esto configurado correctamente también en caso de que necesite regresar a una consola de recuperación.
JulioHM
1
@JulioHM, mira mi respuesta al respecto. Hay una opción de "migración" que no hará que GA sea un requisito para todos los usuarios.
mniess
14

Instalación

Instale el módulo PAM de Google Authenticator de esta manera:

sudo apt-get install libpam-google-authenticator

Ahora ejecute google-authenticator(dentro de una terminal) para cada usuario con el que quiera usar Google Authenticator y siga las instrucciones. Obtendrá un código QR para escanear con su teléfono inteligente (o un enlace) y códigos de emergencia.

Configuración

Para activar Google Authenticator, busque dentro del directorio /etc/pam.d/ . Hay un archivo para cada forma de autenticación con su computadora. Debe editar los archivos de configuración para cada servicio que quiera usar con Google Authenticator. Si quiere usarlo con SSH, edite sshd , si quiere usarlo en LightDM, edite lightdm . En esos archivos, agregue una de las siguientes líneas:

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

Use la primera línea, mientras todavía está migrando a sus usuarios a Google Authenticator. Los usuarios que no lo tienen configurado aún pueden iniciar sesión. La segunda línea forzará el uso de Google Authenticator. Los usuarios que no lo tienen ya no pueden iniciar sesión. Para sshd es crucial que coloque la línea en la parte superior del archivo para evitar ataques de fuerza bruta en su contraseña.

Para agregarlo a LightDM, puede ejecutar esto:

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

Ahora, cuando inicie sesión, se le pedirá por separado su contraseña y el código de autenticación de 2 pasos.

Directorios de inicio cifrados

Si utiliza el cifrado doméstico (ecryptfs), el archivo $ HOME / .google_authenticator no será legible para el módulo PAM (porque todavía está cifrado). En este caso, debe moverlo a otro lugar y decirle a PAM dónde encontrarlo. Una posible línea podría verse así:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

Debe crear un directorio para cada usuario en /home/.ga que tenga el nombre de usuario y cambiar la propiedad de ese directorio al usuario. Luego, el usuario puede ejecutar google-authenticatory mover el archivo .google-authenticator creado a ese directorio. El usuario podría ejecutar las siguientes líneas:

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

Esto permitirá que el módulo acceda al archivo.

Para otras opciones, consulte el archivo README .

mniess
fuente
2

El uso de la autenticación de dos factores en ssh configurado como se describió anteriormente anteriormente todavía deja su sistema abierto a posibles ataques de fuerza bruta en su contraseña. Eso podría comprometer ya el primer factor: su contraseña. Así que personalmente decidí agregar la siguiente línea, no en la parte inferior sino en la parte superior del /etc/pam.d/sshdarchivo, ya que anteriormente no se notaba claramente:

auth required pam_google_authenticator.so

Eso da como resultado primero un mensaje para su código de verificación, luego para su contraseña (independientemente de si ingresó el código de verificación correcto). Con esta configuración, si ingresó el código de verificación o la contraseña incorrectamente, debe ingresarlos nuevamente. Estoy de acuerdo en que es un poco más una molestia, pero oye: ¿querías seguridad o solo una sensación de seguridad?

Maarten
fuente