使用电话而非密码进行身份验证

我知道我想要的真的很奇怪。

我们有一个共享的构建服务器（mac mini，优胜美地），它位于办公室的公共场所。基本上每个人都可以物理访问它。

我们为项目需求创建了特殊的用户帐户，并且在此用户帐户下配置了所有必要的工具/密码等。

我们有一大群人，他们应该不时地对该用户帐户进行物理访问。

作为一个（预测的）结果，我们得到了一个简单的“密码”，每个人，甚至是该群体之外的人都知道。

是否可以使用任何方法/第三方工具来使用诸如Google Authenticator之类的电话应用程序，从而允许仅预先定义的一组人即可访问此特定用户帐户，而无需仅依靠密码？

通常，我正在寻找可能解决我的问题的任何解决方案-仅使用“公共密码”登录特定帐户的帐户。

有数十个2FA pam插件以及自动化工具，可将一个用户帐户绑定到一个iOS设备或一个iCloud帐户。

您会遇到问题的是，一个用户帐户与多人的移动电话之间存在一对一的关系。如果没有某种SMS组池或服务器端设置，我认为您不会找到预制的解决方案。

我使用了http://macid.co/get/，这比我在生产中所信任的东西更新颖。这里有两个设计更好的解决方案，可出于两个因素修改OS X身份验证链：

• https://www.yubico.com/wp-content/uploads/2016/02/Yubico_YubiKeyMacOSXLogin_en.pdf
• https://www.saaspass.com/platforms/mac-osx-two-factor-authentication-one-time-password.html

还有许多其他公司，它们使用与智能卡读取器相同的钩子来使OS X在用户可以使用密码登录之前强制执行其他代码。Yubico记录了/etc/pam.d/authorization您将要更改的文件，并逐步指导您修改系统的方式（SIP阻止了最新OS版本的更改），以运行验证或拒绝登录事件所需的代码。

所有这些工作都不会比更改密码和设置一种将密码分配给仅允许移动设备的移动设备的用户知道新密码的工作少。使该系统变得灵活，您可以每天或在需要时更改密码。

我不知道其他用于解锁Mac的2FA软件，但是最近发现该软件可能对您有用：http : //www.knocktounlock.com/。它使用iPhone解锁Mac。否则，您可以考虑使用未使用的USB闪存驱动器作为密钥（例如Rohos登录密钥http://www.rohos.com/products/rohos-logon-free/）。