নিম্নলিখিত জন্য Google 2FA বাধ্যতামূলক করতে হবে সমস্ত ব্যবহারকারী
ব্যতীত একাত্মতার ব্যবহারকারীদের উবুন্টু এবং অ্যাডমিন গ্রুপ
(অর্থাত যদি গ্রুপ উবুন্টু বা অ্যাডমিন থেকে কোন ব্যবহারকারী 2FA কনফিগার বললে তাকে অনুমোদন হবে নেই / তার তাদের সর্বজনীন কী উপর ভিত্তি করে):
ফাইল: /etc/pam.d/sshd
auth required pam_google_authenticator.so nullok
auth optional pam_succeed_if.so user ingroup sudo
auth optional pam_succeed_if.so user ingroup admin
ফাইল: /etc/ssh/sshd_config
AuthenticationMethods publickey,keyboard-interactive
UsePAM yes
ChallengeResponseAuthentication yes
ফলাফল:
| Belongs to sudo or | Has 2FA Already Setup | Authentication Result
| admin group | in ~/.google_authenticator |
----------+----------------------+-----------------------------+------------------------
User A | NO | NO | DENIED LOGIN UNTIL 2FA IS SETUP
User B | YES | NO | CAN LOGIN (PRIVATE/PUBLIC KEY USED)
User C | NO | YES | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)
User D | YES | YES | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)
মতে Google প্রমাণীকরণকারীর README.md ডকুমেন্টেশন :
nullok
প্যামের কোনও মডিউল থেকে কমপক্ষে একটি সাফল্যের উত্তর প্রয়োজন এবং নুলোক এই মডিউলটিকে আইজিএনওর বলে। এর অর্থ হ'ল যদি এই বিকল্পটি ব্যবহার করা হয় তবে কমপক্ষে অন্য একটি মডিউল অবশ্যই ব্যর্থতা বলেছে। এটি করার একটি উপায় হ'ল পিএএম কনফিগারেশনের শেষে লেখক প্রয়োজনীয় pam_permit.so যুক্ত করা।
এটি nullok
এখানে ব্যবহারকে নিরাপদ করে তোলে ।