Các Yubico PAM module dường như đòi hỏi thay đổi đối với ngăn xếp PAM cho mỗi người dùng sẽ được xác thực bằng YubiKey. Cụ thể, dường như mỗi danh tính khách hàng của người dùng phải được thêm vào tệp cấu hình PAM đúng trước khi người dùng có thể được xác thực.
Trong khi nó làm cho tinh thần để thêm phím ủy quyền cho một cơ sở dữ liệu xác thực như /etc/yubikey_mappings
hay ~/.yubico/authorized_yubikeys
, nó có vẻ như một thói quen xấu để phải chỉnh sửa PAM chồng tự cho mỗi người dùng cá nhân. Tôi chắc chắn muốn tránh phải mã hóa danh tính người dùng mã cứng vào ngăn xếp PAM theo cách này.
Vì vậy, có thể tránh mã hóa cứng tham số id cho chính mô-đun pam_yubico.so không? Nếu không, có bất kỳ mô-đun PAM nào khác có thể tận dụng xác thực YubiKey mà không cần mã hóa ngăn xếp không?
id=
tham số này chỉ dành cho truy cập API Yubico, không phải để xác thực thực tế, vì vậy sẽ rất hợp lý khi đặt nó trên toàn hệ thống.