dienste:bytecluster0002

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
dienste:bytecluster0002 [25.06.2020 22:13]
mape2k
dienste:bytecluster0002 [13.07.2020 22:44] (aktuell)
mape2k 2FA
Zeile 120: Zeile 120:
         * Postfix Configuration:​ **Local only**         * Postfix Configuration:​ **Local only**
         * System Name: **bytecluster0002**         * System Name: **bytecluster0002**
 +
 +==== 2FA Grundeinrichtung =====
 +
 +  - Skript anlegen<​file|/​usr/​local/​bin/​pve_generate_oath>​
 +#!/bin/bash
 +
 +clear
 +
 +USERNAME=$USER
 +HOSTNAME=$(hostname --fqdn)
 +OATHKEY=$(oathkeygen)
 +
 +
 +qrencode -t ANSIUTF8 -o - "​$(echo otpauth://​totp/​Proxmox $HOSTNAME?​secret=$OATHKEY)"​
 +
 +read -p "Scan QR code in your application and press enter to activate. Otherwise press Ctrl+C"​ -n1 -s
 +sudo pveum user modify $USER@pam -keys $OATHKEY
 +</​file>​
 +  - Berechtigungen anpassen und ausführbar machen
 +    * **chown root:root /​usr/​local/​bin/​pve_generate_oath**
 +    * **chmod 755 /​usr/​local/​bin/​pve_generate_oath**
 +  - 2FA für PAM-Anmeldungen verpflichtend machen
 +    * **pveum realm modify pam -tfa type=oath,​digits=6 -default 1**
 +
 +==== Admin-Gruppe und ersten Benutzer anlegen ====
 +
 +  - Admin-Gruppe anlegen
 +    * **pveum group add admin -comment "​Administrators"​**
 +    * **pveum aclmod / -group admin -role Administrator**
 +  - ersten Benutzer zuweisen und root sperren
 +    * **pveum user add mustermann@pam -groups admin -enable 1 -firstname "​Max"​ -lastname "​Mustermann"​**
 +    * **pveum user modify root@pam -enable 0**
 +  - 2FA für ersten Benutzer aktivieren
 +    * **ALS BENUTZER AUSFÜHREN** - vorher also **su mustermann** (falls als root eingeloggt)
 +    * **pve_generate_oath**
 +      * QR-Code scannen und nach Enter ggf. Ausführung mit eigenem Passwort für sudo bestätigen
  • dienste/bytecluster0002.1593115989.txt.gz
  • Zuletzt geändert: 25.06.2020 22:13
  • von mape2k