Мне интересно, есть ли какой-нибудь модуль двухфакторной аутентификации, который поддерживает PAM. Мои dovecot (PAM), postfix (SASL) и openssh аутентифицируются через PAM для пользователей системы. Я бы хотел, чтобы он выполнял двухфакторную аутентификацию, возможно, через yubikey, аутентификатор Google или что-то еще. А также, как мой почтовый клиент с этим справится?
Google Authenticator имеет модуль PAM. Инструкции для него здесь. Не уверен, как это будет работать с почтой.
На самом деле вы хотите выбрать правильный протокол аутентификации, поддерживаемый PAM, службы, которые вы хотите защитить, и максимальное количество серверов двухфакторной аутентификации.
Радиус - вот ответ.
Радиус поддерживают все основные системы двухфакторной аутентификации. Радиус поддерживается в PAM через плагин pam-radius. Radius также позволит вам проксировать запросы через freeradius (или NPS в AD), который затем может выполнять авторизацию для вашего каталога. (Это означает, что у вас есть одно место для отключения пользователей.)
У нас есть несколько руководств, которые должны помочь: пара по pam-radius: https://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to & https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-pam-radius-in-ubuntu
И этот о добавлении двухфакторной аутентификации в веб-почту, которая охватывает sasl и т. Д. https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-strong-authentication
Почтовые клиенты будут получать запрос на ввод OTP при каждом запуске или для каждого сеанса.
Pam-tacacs и pam-ldap были бы другими вариантами, но более сложными и менее гибкими, IMO.