From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glac-community-2@m.gmane-mx.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=0.7 required=5.0 tests=BAYES_00, DKIM_ADSP_CUSTOM_MED,
 FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM,HEADER_FROM_DIFFERENT_DOMAINS,
 NML_ADSP_CUSTOM_MED,SUBJ_ALL_CAPS autolearn=no autolearn_force=no
 version=3.4.1
X-Injected-Via-Gmane: http://gmane.org/
To: community@lists.altlinux.org
From: =?UTF-8?B?0JDQu9C10LrRgdC10Lkg0JIuINCc0LXQt9C40L0=?=
 <alexei.mezin@gmail.com>
Date: Tue, 4 Jun 2024 13:20:17 +0300
Message-ID: <v3mpp1$16kf$2@ciao.gmane.io>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
User-Agent: Mozilla Thunderbird
Content-Language: ru
Subject: [Comm] =?utf-8?b?VE9UUCAyRkEgLSDQutGC0L4t0YLQviDQuNGB0L/QvtC70Yw=?=
 =?utf-8?b?0LfRg9C10YI/?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Community general discussions
 <community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
 <mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
 <mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 04 Jun 2024 10:20:30 -0000
Archived-At: <http://lore.altlinux.org/community/v3mpp1$16kf$2@ciao.gmane.io/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Был у меня сервер чуть ли не с p8, который в итоге дообновлялся, 
кажется, до p10. И когда-то давно я запустил на нем двухфакторную 
аутентификацию на одноразовых паролях на основе текущего времени из 
google-autheticator. С настройками проблем не возникло, главное было 
вписать в /etc/pam.d/sshd строку

auth required pam_google_autheticator.so

и при логине по ssh начинало спрашивать не только пароль, но и 
"verification code".


Однако, что-то в этой механике сломалось, и в p11 больше не работает (в 
centos 9 тоже не работает). "Управление" в нужный момент передается 
pam_google_authenticator, но на экране запроса на ввод кода не 
появляется, а в логах ругань, что этот модуль трижды не получил нужного 
кода.

Поэтому вопрос: это я не умею этот pam+ssh готовить, и как-то можно 
настроить гугловскую библиотеку?

Еще вопрос: кто-то использует какие-то альтернативы? И нет ли у нас 
какой-то стандартной ручки для настройки? Потому что описание oath  - 
какое-то лютое ручное прилепливание пятой ноги к собаке. Хотя, казалось 
бы, тема очень важная, и должно быть все системно и дистрибутивно.