See protsess toimus Ubuntu 14.04 standardse Unity'i töölaua ja LightDMi sisselogimisjuhi abil, kuid põhimõtted on ühesugused enamikes Linuxi distributsioonides ja töölauates.
Varasemalt näitasime me, kuidas nõuda Google Authenticatorilt kaugjuurdepääsu SSH-i kaudu, ja see protsess on sarnane. See ei nõua rakenduse Google Authenticator, vaid töötab ühilduva rakendusega, mis rakendab TOTP autentimise skeemi, sealhulgas Authy.
Installige Google Authenticator PAM
Nagu SSH-i juurdepääsu korral selle seadistamisel, peame esmalt installima sobiva PAM-i ("plug-in-autentimise moodul") tarkvara. PAM on süsteem, mis võimaldab meil eri tüüpi autentimismeetodeid ühendada Linuxi süsteemiga ja neid nõuda.
Ubuntu puhul installib Google Authenticator PAM järgmise käsuga. Avage terminali aken, tippige järgmine käsk, vajutage sisestusklahvi ja sisestage parool. Süsteem laadib PAMi alla oma Linuxi levitamise tarkvarartiklitest ja installib selle:
sudo apt-get install libpam-google-authenticator
Nagu me varem mainisime, ei sõltu see lahendus Google'i serveritele helistades. See rakendab standardseid TOTP-i algoritmi ja seda saab kasutada isegi siis, kui teie arvutil ei ole Interneti-ühendust.
Loo oma autentimise võtmed
Nüüd peate looma salajase autentimise võti ja sisestama selle oma telefoni Google Authenticatori rakendusse (või sarnaseks) rakenduseks. Esiteks logige oma Linuxi süsteemis oma kasutajakontoga sisse. Avage terminali aken ja käivitage google-autentifikaator käsk Tüüp y ja järgige siin olevaid juhiseid. Sellega luuakse praeguse kasutajakonto kataloogis spetsiaalne fail Google Authenticatori teabega.
Kindlasti märkige oma hädaabi koodid, mida saate oma telefoniga kaotamiseks sisse logida.
Aktiveerige autentimine
Siin on asjad, mis lähevad natuke pisut. Kui me selgitasime, kuidas võimaldada SSH sisselogimiste jaoks kahte tegurit, nõutasime seda ainult SSH sisselogimiste jaoks. See tagab, et saate ka oma autentimisrakenduse kaotanud või kui midagi läks valesti.
Kuna me lubame kaht tegurit kohalike sisselogimiste jaoks tõestada, on siin potentsiaalsed probleemid. Kui midagi läheb valesti, ei pruugi te olla võimalik sisse logida. Seda silmas pidades juhime seda, kui lubate selle ainult graafilistele sisselogimistele. See annab teile evakuatsiooniluugi, kui seda vajate.
Luba Google Authenticator graafiliste sisselogimiste jaoks Ubuntu
Te võite alati lubada kaheastmelise autentimise ainult graafiliste sisselogimiste jaoks, jättes nõude, kui logite tekstiväljale sisse. See tähendab, et võite kergesti üle minna virtuaalsele terminalile, logige sisse ja muutke oma muudatused tagasi, nii et Gogole Authenciator pole probleemi tekkimisel vajalik.
Muidugi avab see teie autentimissüsteemis ava, kuid ründaja, kellel on füüsiline juurdepääs teie süsteemile, võib selle ikkagi ära kasutada. Sellepärast on kaheteguriline autentimine eriti efektiivne SSH-serveri kaudu sisselogimisel.
Siin on kuidas seda teha Ubuntu jaoks, kes kasutab LightDM-i sisselogimisjuhi. Ava LightDM-fail redigeerimiseks käsuga, mis on järgmine:
sudo gedit /etc/pam.d/lightdm
(Pidage meeles, et need konkreetsed toimingud toimivad ainult siis, kui teie Linuxi jaotus ja töölaud kasutavad LightDMi sisselogimisjuhi.)
auth required pam_google_authenticator.so nullok
Lõpuks nullok-bitis annab süsteemi kasutajatele sisse logima isegi siis, kui nad ei käivita kahe autentsuse autentimise seadistamiseks käsku google-authenticator. Kui nad on selle seadistanud, peavad nad sisestama aeg-baasi koodi - muidu nad seda ei tee. Eemaldage nullok ja kasutajate kontod, kes ei ole Google Authenticator koodi seadistanud, ei saa graafiliselt sisse logida.
Kui kasutate kodukataloogi krüptimist
Vanemad Ubuntu väljaanded pakkusid hõlpsa kodukataloogi krüptimise võimaluse, mis krüpteerib kogu teie kodukataloogi kuni parooli sisestamiseni. Täpsemalt, see kasutab öripptfi. Kuid kuna PAM-tarkvara sõltub vaikimisi kodukataloogis salvestatud Google Authenticatori failist, kahjustab see krüptimine faili lugedes PAM-i, kui te ei garanteeri, et see on krüptimata kujul süsteemile enne sisselogimist. Täpsemat teavet README-le selle probleemi vältimise kohta, kui te kasutate endiselt vananenud kodukataloogi krüpteerimisvalikuid.
Ubuntu kaasaegsed versioonid pakuvad täiesti ketta krüpteerimist, mis toimib ülaltoodud võimalustega. Sa ei pea midagi erilist tegema
Abi, see murdis!
Kuna me lubasime seda graafilistele sisselogimistele, peaks see olema lihtsalt keelatud, kui see põhjustab probleemi. Virtuaalse terminali avamiseks vajutage klahvikombinatsiooni, näiteks Ctrl + Alt + F2, ja logige sisse oma kasutajanime ja parooliga. Siis saate kasutada käsku sudo nano /etc/pam.d/lightdm, et avada faili redigeerimiseks terminali tekstitöötlusversioonis. Kasutage Nano juhendit, et eemaldada joon ja fail salvestada, ja saate uuesti sisse logida.
Lisateavet selle PAM-mooduli kasutamise ja seadistamise kohta leiate GitHubi tarkvara README-failist.
