使用电话而非密码进行身份验证


0

我知道我想要的真的很奇怪。

我们有一个共享的构建服务器(mac mini,优胜美地),它位于办公室的公共场所。基本上每个人都可以物理访问它。

我们为项目需求创建了特殊的用户帐户,并且在此用户帐户下配置了所有必要的工具/密码等。

我们有一大群人,他们应该不时地对该用户帐户进行物理访问。

作为一个(预测的)结果,我们得到了一个简单的“密码”,每个人,甚至是该群体之外的人都知道。

是否可以使用任何方法/第三方工具来使用诸如Google Authenticator之类的电话应用程序,从而允许仅预先定义的一组人即可访问此特定用户帐户,而无需仅依靠密码?

通常,我正在寻找可能解决我的问题的任何解决方案-仅使用“公共密码”登录特定帐户的帐户。


有多种方法可以解决此问题。“普通用户”是否需要图形登录?或者您只能作为命令行用户使用?
bmike

@bmike在大多数情况下,他们需要访问Mac,登录并“使用鼠标和键盘”做一些真正自定义的事情。由于各种原因,无法使用远程桌面/ VNC / Team Viewer,因此需要物理访问。
Lanorkin '16

啊-为什么您不设置安全的聊天室(闲置或其他)并定期更改密码。仅允许当前的授权用户组检索密码,并由一个人和一个备份负责更改和发布实际帐户密码。然后,人们可以使用他们的移动检索当前密码登录。
bmike

@bmike这是我的备份计划,但是我太懒了,无法定期进行管理
Lanorkin

Answers:


0

有数十个2FA pam插件以及自动化工具,可将一个用户帐户绑定到一个iOS设备或一个iCloud帐户。

您会遇到问题的是,一个用户帐户与多人的移动电话之间存在一对一的关系。如果没有某种SMS组池或服务器端设置,我认为您不会找到预制的解决方案。

我使用了http://macid.co/get/,这比我在生产中所信任的东西更新颖。这里有两个设计更好的解决方案,可出于两个因素修改OS X身份验证链:

还有许多其他公司,它们使用与智能卡读取器相同的钩子来使OS X在用户可以使用密码登录之前强制执行其他代码。Yubico记录了/etc/pam.d/authorization您将要更改的文件,并逐步指导您修改系统的方式(SIP阻止了最新OS版本的更改),以运行验证或拒绝登录事件所需的代码。


所有这些工作都不会比更改密码和设置一种将密码分配给仅允许移动设备的移动设备的用户知道新密码的工作少。使该系统变得灵活,您可以每天或在需要时更改密码。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.