將兩種方式的 SSH 和 Apache 身份驗證限制為非本地網路

我正在使用 Google 的開源 PAM 模組對 SSH 登錄和某些 Apache 指令進行雙向身份驗證。它工作得很好，但是我只想在嘗試從外部網路登錄時使用它，只在網路內部使用基本的使用者名/密碼。基本上將網路列入白名單。我怎樣才能做到這一點？我似乎找不到答案…

看起來 pam 模組（假設您的意思是他們為兩因素身份驗證引入的“Google身份驗證器”模組）沒有任何選項可以本地支持此功能，因此您可能不得不使用 pam 堆棧控制標誌。

一種可能性是：

1. 將堆棧中的 pam_access 配置為“足夠”（這樣成功會阻止 PAM 之後執行，但會失敗）
2. 將 pam_access 配置為始終為本地網路使用者返回成功
3. 將 google 身份驗證器模組放在 pam_access 行之後。

淨效果應該是（我還沒有測試過）google 身份驗證器模組的執行取決於 pam_access 說它們不是本地的（即失敗）。它應該可以工作，因為 pam_access 的手冊頁說模組中提供了“auth”工具。

讓我知道結果。

引用自：https://unix.stackexchange.com/questions/70910