Uwierzytelnij się za pomocą telefonu zamiast hasła

0

Rozumiem, że to, czego chcę, jest naprawdę dziwne.

Mamy coś w rodzaju wspólnego serwera kompilacji (Mac mini, Yosemite), który znajduje się w publicznym miejscu w biurze; w zasadzie każdy ma do niego fizyczny dostęp.

Mamy specjalne konto użytkownika utworzone na potrzeby naszego projektu, a wszystkie niezbędne narzędzia / hasła itp. Są konfigurowane w ramach tego konta użytkownika.

Mamy dość dużą grupę osób, które od czasu do czasu powinny mieć fizyczny dostęp do tego konta użytkownika.

Jako (przewidywany) wynik mamy proste „hasło”, które znane jest wszystkim, nawet osobom spoza tej grupy.

Czy istnieje jakiś sposób / narzędzie strony trzeciej do korzystania z aplikacji telefonicznych, takich jak Google Authenticator, które umożliwią dostęp do tego konkretnego konta użytkownika zdefiniowanej grupie osób, bez polegania tylko na haśle?

Zasadniczo szukam rozwiązania, które mogłoby rozwiązać mój problem - zaloguj się do konta przy użyciu „hasła publicznego” tylko dla określonych osób.

Lanorkin
źródło
Istnieje wiele sposobów rozwiązania tego problemu. Czy „zwykły użytkownik” potrzebuje graficznego logowania, czy może to być tylko użytkownik wiersza poleceń?
bmike
@bike w większości przypadków muszą przejść do Maca, zalogować się i zrobić naprawdę niestandardowe rzeczy „za pomocą myszy i klawiatury”. Pulpitu zdalnego / VNC / Team Viewer nie można używać z różnych powodów, dlatego wymagają fizycznego dostępu.
Lanorkin
Aah - dlaczego nie miałbyś po prostu skonfigurować bezpiecznego pokoju czatu (luzu lub innego) i regularnie zmieniać hasło. Zezwól tylko bieżącej grupie autoryzowanych użytkowników na odzyskanie hasła, a jedna osoba i jedna kopia zapasowa będą odpowiedzialni za zmianę i opublikowanie rzeczywistego hasła do konta. Następnie ludzie mogą użyć swojego telefonu komórkowego, aby pobrać aktualne hasło, aby się zalogować.
bmike
@bike, to mój plan tworzenia kopii zapasowych, ale jestem zbyt leniwy, aby zarządzać nim regularnie
Lanorkin

Odpowiedzi:

0

Istnieją dziesiątki wtyczek 2FA pam, a także narzędzia do automatyzacji, które pozwalają na powiązanie jednego konta użytkownika z jednym urządzeniem iOS lub jednym kontem iCloud.

W przypadku problemów występują relacje N-to-one między jednym kontem użytkownika a telefonami komórkowymi wielu osób. Bez jakiejś puli grup SMS lub konfiguracji po stronie serwera, nie sądzę, że znajdziesz gotowe rozwiązanie.

Użyłem http://macid.co/get/ i jest to bardziej nowość niż coś, co można zaufać w produkcji. Oto dwa znacznie lepiej zaprojektowane rozwiązania do modyfikacji łańcucha uwierzytelniania OS X z dwóch powodów:

Istnieją dziesiątki innych firm, które używają tych samych haczyków, które czynią czytniki kart inteligentnych, aby OS X wymusił dodatkowe wykonanie kodu, zanim użytkownik będzie mógł zalogować się za pomocą hasła. Yubico dokumentuje /etc/pam.d/authorizationplik, który chcesz zmienić, a także pokazuje, jak zmodyfikować system (SIP zapobiega tej zmianie w najnowszych wydaniach systemu operacyjnego), aby uruchomić kod potrzebny do sprawdzenia lub odmowy logowania.


Żadne z nich nie będzie mniej pracochłonne niż zmiana hasła i ustanowienie sposobu dystrybucji tego hasła tylko na urządzenia mobilne, aby użytkownicy mogli poznać nowe hasło. Uelastycznij ten system, abyś mógł zmieniać hasło codziennie lub tylko w razie potrzeby.

bmike
źródło
0

Nie znam innych programów 2FA do odblokowania komputera Mac, jednak ostatnio znalazłem to oprogramowanie, które może Ci się przydać: http://www.knocktounlock.com/ . Do odblokowania komputera Mac używa iPhone'a. W przeciwnym razie możesz rozważyć użycie nieużywanego dysku flash USB jako klucza (na przykład Rohos Logon Key http://www.rohos.com/products/rohos-logon-free/ ).

Justin
źródło