AD + Freeradius + Google Authenticator. Установка с нуля для Cisco Anyconnect и не только

[DaemonGloom]

По поводу selinux: посмотрите, с какими правами работает ваш radius и в какие директории у него есть право писать.
Для авторизации по ssh с GA можно хранить файлы в /var/run/user/${USER}/.google_authenticator например. Подходящая метка в случае ssh — var_auth_t.
По https://www.systutorials.com/docs/linux/man/8-radiusd_selinux/ можно использовать /var/run/radiusd/, либо выдать такие же права на другую папку (раздел EQUIVALENCE DIRECTORIES).

[ded_Pihto]

Спасибо, я почитаю внимательно. Просто я не совсем понимаю какие метки нужно ставить, если я заранее не знаю от имени какого пользователя будет обращение к файлу. И второе — собственно файл создается «автоматически» под пользователем, а метку надо прописывать ему под root. Или метка наследуется от родительского каталога?
Я знаю как вынести все «токены» в один каталог из $HOME в например /path_secrets/$USER.
Я GA использую на для ssh а для Radius. Он обращается к «токенам» GA от имени того пользователя, который проверяется через модуль PAM. И вот именно модуль PAM получает ошибку чтения от selinux.

[DaemonGloom]

Там будет не "обращение от имени пользователя", а "обращение от демона radiusd", потому и метки нужны каталогу и файлам соответствующие возможностям radiusd.

С ssh ситуация точно такая же — только там будет обращение от демона sshd.

[dizaar]

По поводу более красивого варианта генерации QR кода — на мой взгляд — какая-нибудь простенькая вебморда на том же php. Так и подобие фронтэнда получается. Я в php не силен, поэтому и решал при помощи шелл скрипта.

[ded_Pihto]

Огромное спасибо вам за ваше решение. Я ищу другое готовое если оно есть. Я тоже не имею опыта написания фронта. Писать самому, не зная тонкостей и нюансов, с учетом того что результат смотрит в мир — это сделать большую дыру.