LINUX.ORG.RU

FreeIPA и OneTimePasswords

 , ,


0

1

Всем привет.

Задача достаточно тривиальная: Есть 3-4 десятка Linux серверов + сервисы на них (PG базы, Gitlab, OpenVPN и тд и тп).

Хотелось бы сделать возможность выдавать юзеру один логин и пароль, и чтобы он везде ходил с ними. Ну как бы кейс вроде самый обычный.

Наткнулся на FreeIPA. По описанию вроде подходит. Я поставил 2 виртуалки для теста. Одна на centos с Freeipa, на второй установлен freeipa-client. Пробую коннектиться, все работает как часики, по крайней мере с SSH.

Увидел фичу OTP (одноразовые токены). Очень заинтересовала. Пробовал включить, но чет оно не заводится. Создаю юзера, логинюсь в freeipa под ним. Добавляю токен, сканю код. Все отлично. Но freeipa и в ssh на вторую виртуалку пускает только по паролю. Окей, пробую выставить у тестового юзера галочку напротив «Two factor authentication (password + OTP)», вуаля. В SSH пускает только по токену и паролю. Просто по паролю не пускает. Но к сожалению и в интерфейс freeipa пускает тоже только по паролю+токену. Реально ли вообще сделать так, чтобы в часть сервисов доступ был просто по по паролю, а в часть по паролю+otp?