解決策 1:
おそらく pam_listfile でこれを処理できます モジュール。 /etc/pam.d/sshd を作成する 次のようなファイル:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
これにより、/etc/authusers にリストされている人のみが許可されます 2 要素モジュール (この場合は secureid) で認証する機能。この構成を実際にテストしたことはありませんが、理論は正しいです。
誰でも許可することで、より簡単にすることができます 二要素認証を使用して認証する。おそらく、適切なデバイス/構成を持つ人々だけが成功できるので、事実上同じ動作が得られます.
解決策 2:
Google Authenticator を使用しないユーザーの 2 要素認証を無効にするため nullok を追加します /etc/pam.d/sshd のオプション :
auth required pam_google_authenticator.so nullok
詳細については、https://github.com/google/google-authenticator-libpam#setting-up-a-user を参照してください
解決策 3:
以下のソリューションを使用して、PAM モジュール (Google 認証システム) を特定のユーザーに対して無効にすることができます-
1) Linux インスタンスでユーザー グループを作成します。この新しいグループに存在するユーザーの MFA/PAM は無効になります-
sudo groupadd <groupname>
2) ユーザーを作成するか、既存のユーザーを新しく作成したグループに追加します-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) /etc/pam.d/sshd ファイルを編集し、以下のステートメントを追加して、新しく作成されたグループの PAM モジュールをスキップします-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
オプション-
この新しいグループにフル アクセスが必要な場合は、以下の行を visudo ファイルに追加してください-
%<groupname>ALL=(ALL) NOPASSWD: ALL
ユーザーが作成されて新しいグループに追加されると、それらのユーザーの MFA はスキップされます。
-TechManyu ブログより引用