PAM을 통해 인증이 완료될 때마다 스크립트를 호출하고 싶은데, 로그인을 성공적으로 완료한 모듈은 pam_yubico.so입니다.
e.g: user does sudo:
-> user is not configured for 2FA on sudo
-> user logs in with password
-> callback is not invoked
e.g.2: same user does ssh login:
-> ssh requires 2FA for this user
-> user logs in with password & yubikey
-> user login accepted
-> invoke callback
e.g.3: another user does sudo:
-> user configuration has 2FA required for sudo
-> user types pass and presses yubikey
-> user login accepted
-> invoke callbak
따라서 구체적으로 사용자가 두 가지 요소를 사용하여 성공적으로 인증할 때마다 콜백을 트리거해야 합니다.
bash_profile이나 rc에서 스크립트를 실행하는 것만으로는 내가 원하는 것이 아닙니다. 2F(kde, sudo, ssh su...)를 사용할 때마다 콜백을 호출해야 합니다.
답변1
성공적인 모듈이 실행 가능해지면 명령을 실행하여 pam_exec.so로 이동합니다.success=${num lines to skip}
사람 8 pam_exec
auth sufficient pam_unix.so
auth [success=1 default=ignore] foo_2fa.so some_other=options
auth requisite pam_deny.so
auth optional pam_exec.so debug /path/to/my/script.sh
위의 사항을 테스트하지 않았으므로 이를 조정하고 안전한지 확인해야 할 수도 있습니다.