Security Professionals - ipfw add deny all from eindgebruikers to any

Linux PAM 2factor "trusted device"

23-11-2021, 16:41 door Patrick_st, 4 reacties
Om verbinding te maken met een netwerk gebruiken we nu OpenVPN samen met Linux PAM en de Google authenticator app.
Dit werkt bij de draadloze gebruikers niet helemaal soepel. De verbinding wordt wel eens verbroken en dan moet opnieuw ingelogd worden met de 2factor app. De openstaande applicaties hebben op dat moment geen verbinding met de server en lopen dan vast.

Nu zie ik bij andere oplossingen dat het mogelijk is om een apparaat te vertrouwen, zodat niet iedere keer de 2factor nodig is.
Is zoiets ook mogelijk met Linux PAM / Google Authenticator en zo ja, hoe?

Of zou dit mogelijk zijn met een hardware token ipv de Google Authenticator?
Reacties (4)
23-11-2021, 17:05 door Anoniem
Ik weet niet of PAM een harde eis is, maar als je echte smartcards gaat gebruiken (waar keys/certificaten op kunnen) dan kan je op basis daarvan een 2fa maken. Dat is iets wat openvpn zelf kan, dus daar heb je geen PAM of authenticator voor nodig.
De gebruiker moet dan eenmalig (bij het opzetten van de vpn) een PIN geven, die wordt gedurende de tijd dat de VPN staat gecached, dus ook bij een automatische reconnect is geen interactie met de gebruiker nodig.
23-11-2021, 18:01 door Patrick_st
PAM is geen harde eis maar maakte het mogelijk om de Googe Authenticator te gebruiken

Ik ga er eens naar zoeken, dank je!
23-11-2021, 19:58 door MathFox
Je kunt na het inloggen een certificaat dat een paar uur geldig is naar het device sturen en dat certificaat accepteren bij opnieuw inloggen (binnen de geldigheidsduur van het certificaat.) Moet je misschien een PAM module voor schrijven...

Met hardware tokens kun je 2fa opzetten met een maximaal gebruikersgemak; de benodigde hardware is niet zo duur. (Als een gebruiker dagelijks 1 minuut minder met inloggen bezig is verdien je het in 1 a 2 maanden terug.)
24-11-2021, 10:12 door Patrick_st
Het idee van zo'n certificaat sturen vind ik wel een mooie.
Ik moet me sowieso beter in PAM verdiepen, dat heeft best wel mogelijkheden.
pam_timestamp.so kan ik wellicht iets mee
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.