Комментарии 5
По поводу selinux: посмотрите, с какими правами работает ваш radius и в какие директории у него есть право писать.
Для авторизации по ssh с GA можно хранить файлы в /var/run/user/${USER}/.google_authenticator например. Подходящая метка в случае ssh — var_auth_t.
По https://www.systutorials.com/docs/linux/man/8-radiusd_selinux/ можно использовать /var/run/radiusd/, либо выдать такие же права на другую папку (раздел EQUIVALENCE DIRECTORIES).
0
Спасибо, я почитаю внимательно. Просто я не совсем понимаю какие метки нужно ставить, если я заранее не знаю от имени какого пользователя будет обращение к файлу. И второе — собственно файл создается «автоматически» под пользователем, а метку надо прописывать ему под root. Или метка наследуется от родительского каталога?
Я знаю как вынести все «токены» в один каталог из $HOME в например /path_secrets/$USER.
Я GA использую на для ssh а для Radius. Он обращается к «токенам» GA от имени того пользователя, который проверяется через модуль PAM. И вот именно модуль PAM получает ошибку чтения от selinux.
Я знаю как вынести все «токены» в один каталог из $HOME в например /path_secrets/$USER.
Я GA использую на для ssh а для Radius. Он обращается к «токенам» GA от имени того пользователя, который проверяется через модуль PAM. И вот именно модуль PAM получает ошибку чтения от selinux.
0
По поводу более красивого варианта генерации QR кода — на мой взгляд — какая-нибудь простенькая вебморда на том же php. Так и подобие фронтэнда получается. Я в php не силен, поэтому и решал при помощи шелл скрипта.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
AD + Freeradius + Google Authenticator. Установка с нуля для Cisco Anyconnect и не только