Home
Packages
Forums
Wiki
GitLab
Security
AUR
Download
コンテンツにスキップ
メインメニュー
メインメニュー
サイドバーに移動
非表示
案内
メインページ
目次
コミュニティに貢献
最近の出来事
おまかせ表示
特別ページ
交流
ヘルプ
貢献
最近の更新
最近の議論
新しいページ
統計
リクエスト
ArchWiki
検索
検索
表示
アカウント作成
ログイン
個人用ツール
アカウント作成
ログイン
Pam oathのソースを表示
ページ
議論
日本語
閲覧
ソースを閲覧
履歴を表示
ツール
ツール
サイドバーに移動
非表示
操作
閲覧
ソースを閲覧
履歴を表示
全般
リンク元
関連ページの更新状況
ページ情報
表示
サイドバーに移動
非表示
←
Pam oath
あなたには「このページの編集」を行う権限がありません。理由は以下の通りです:
この操作は、次のグループに属する利用者のみが実行できます:
登録利用者
。
このページのソースの閲覧やコピーができます。
{{DISPLAYTITLE:pam_oath}} [[Category:Secure Shell]] [[en:Pam oath]] [https://www.nongnu.org/oath-toolkit/index.html OATH Toolkit] はワンタイムパスコード (OTP) を使用する2段階認証を実現します。RFC 標準になっている2つの OTP 手法に対応 ([[Wikipedia:HMAC-based_One-time_Password_Algorithm|HOTP]], [[Wikipedia:Time-based_One-time_Password_Algorithm|TOTP]])。OTP を生成するアプリケーションは iOS, Android, Blackberry などの端末で使うことができます。[[Google Authenticator]] と同じように認証メカニズムは Linux の [[PAM]] システムと統合されています。このページではインストールと設定について説明します。 == インストール == {{Pkg|oath-toolkit}} パッケージをインストールしてください。 == oath の設定 == oath のシードは16進数の数字で、ユーザーごとに一意である必要があります。新しいシードを生成するには、以下のコマンドラインを使用します: $ head -10 /dev/urandom | sha512sum | cut -b 1-30 1ab4321412aebcw この記事では上記のシードを例として使用しますが、同じシードを実際に設定するときに使ってはいけません。oath はユーザーごとに必要で、設定ファイル {{ic|/etc/users.oath}} の中にリンクします。root でファイルを作成して、ユーザーのシードを記述してください: {{hc|/etc/users.oath|# Option User Prefix Seed HOTP/T30/6 ''user'' - ''1ab4321412aebcw''}} ファイルは root からしかアクセスできないようにします: # chmod 600 /etc/users.oath # chown root /etc/users.oath == PAM の設定 == 特定のサービスだけで oath を有効にするには、例えば ssh なら {{ic|/etc/pam.d/sshd}} ファイルを編集してファイルの先頭に以下の行を追加します: auth sufficient pam_oath.so usersfile=/etc/users.oath window=30 digits=6 これで正しい oath コードを入力したときに認証が通るようになります。認証を必須にして pam スタックの処理を止めるようにしたい場合は以下のように設定します: auth required pam_oath.so usersfile=/etc/users.oath window=30 digits=6 == oath パスの記録 == 現在の oath パスが必要な場合は以下のコマンドを実行: oathtool -v -d6 ''1ab4321412aebcw'' 上記の ''1ab4321412aebcw'' は適当なシードに置き換えてください。以下のような表示がされます: Hex secret: 1ab4321412aebc Base32 secret: DK2DEFASV26A==== Digits: 6 Window size: 0 Start counter: 0x0 (0) 820170 最後の数字は実際にログインに使用することができます。また、Base32 secret は qr コードを生成するのに必要な文字列です。qr コードを生成するには {{Pkg|qrencode}} パッケージをインストールして次のコマンドを実行: qrencode -o ''user''.png 'otpauth://totp/''user''@''machine''?secret=''DK2DEFASV26A====''' ''user'', ''machine'', ''DK2DEFASV26A===='' は適当な文字列に置き換えてください。生成が完了したら、お好きな画像作成アプリケーションで qrcode を視覚化して使用することができます。FreeOTP を使用して png のスクリーンショットを撮影し、必要になったときに OTP パスを表示するのが一番簡単です。 {{Note|The secret key of your users is the most important information in this system. Once you setup a phone to provide OTP, it does have that key. The qr code in that png file does have that key. You need to take extra care of this file. They should only be stored on encrypted medium (Your phone need to be using encryption for any sane level of security). If not even confined in a sandbox like Samsung Knox to prevent third party application to potentially access them.}} == 参照 == * [http://spod.cx/blog/two-factor-ssh-auth-with-pam_oath-google-authenticator.shtml Two-factor time based (TOTP) SSH authentication with pam_oath and Google Authenticator] * [https://www.nongnu.org/oath-toolkit/pam_oath.html pam_oath man page]
このページで使用されているテンプレート:
テンプレート:Hc
(
ソースを閲覧
)
テンプレート:Ic
(
ソースを閲覧
)
テンプレート:Note
(
ソースを閲覧
)
テンプレート:Pkg
(
ソースを閲覧
)
テンプレート:Tip
(
ソースを閲覧
)
テンプレート:Warning
(
ソースを閲覧
)
Pam oath
に戻る。
検索
検索
Pam oathのソースを表示
話題を追加