Authentification à 2 facteurs sur Debian

Ce tutoriel vous permet d’ajouter une seconde méthode d’authentification sur votre session Linux. Ce tutoriel se base sur l’utilisation du module d’authentification PAM.

PAM est présent sur la plupart des distributions Linux récentes. Ce tutoriel a été réalisé sur Debian.

L’authentification a deux facteurs est un moyen supplémentaire de sécuriser sa session Linux. En plus de votre mot de passe de session vous serez amené à renseigner un mot de passe à usage unique et temporaire généré par votre application d’authentification depuis votre mobile.

On installe tout d’abord le module Google-authenticator :

#apt-get install libpam-google-authenticator

Sur le terminal de l’utilisateur que vous voulez authentifier avec la double authentification tapez :

$google-authenticator

On peut répondre ‘yes’ à toutes les questions qui seront posées préalablement pour conserver les valeurs par défaut.

On obtient alors le QR code à flasher avec l’application mobile qui nous servira à générer le code d’authentification.

Veillez à conserver les codes de récupération en cas de problème avec votre smartphone.

A ce moment, on installe l’application Google authenticator (mais d’autres applications fonctionnent également comme AndOTP sur Android qui est open source) sur notre smartphone et on scanne ce QR code. On obtient alors le code temporaire pour l’authentification.

On valide ensuite les valeurs par défaut de la fin de configuration en tapant ‘yes’.

On configure ensuite common-auth pour activer l’authentification à deux facteurs.

nano /etc/pam.d/common-auth

On ajoute la ligne suivante à la suite du fichier.

auth required pam_google_authenticator.so nullok

On peut désormais tester l’authentification. On ferme la session de notre utilisateur. On tape le mot de passe de la session, puis cela va nous demander le code de vérification. On ouvre alors l’application depuis son smartphone et on tape le mot de passe généré. On accède ensuite à la session de l’utilisateur.


Sources :

Techradar

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *