如何通过PAM模块在手机APP中实现扫码授权登录敏感资产配置?
- 内容介绍
- 相关推荐
本文共计754个文字,预计阅读时间需要4分钟。
无法指定SSH或PAM,自行生成二维码或回调。需要部署一个独立的扫码服务(可置于DMZ或管理网),其负责:
- 向微信/企业微信/钉钉等平台发起 OAuth2 授权请求,返回带有效期的二维码
- 用户扫码并授权后,接收平台回调,完成身份核验(含 MFA、权限白名单、IP 限制等)
- 生成一个签名 JWT,内容至少包含:sub(映射的 Linux 用户名)、exp(建议≤120秒)、jti(防重放)、iss(服务标识)
- 用私钥签名,确保令牌不可篡改;公钥后续供 PAM 模块验签使用
SSH 登录时把令牌交给 PAM
用户不再输密码,而是通过自定义方式把 JWT 提交给服务器。
本文共计754个文字,预计阅读时间需要4分钟。
无法指定SSH或PAM,自行生成二维码或回调。需要部署一个独立的扫码服务(可置于DMZ或管理网),其负责:
- 向微信/企业微信/钉钉等平台发起 OAuth2 授权请求,返回带有效期的二维码
- 用户扫码并授权后,接收平台回调,完成身份核验(含 MFA、权限白名单、IP 限制等)
- 生成一个签名 JWT,内容至少包含:sub(映射的 Linux 用户名)、exp(建议≤120秒)、jti(防重放)、iss(服务标识)
- 用私钥签名,确保令牌不可篡改;公钥后续供 PAM 模块验签使用
SSH 登录时把令牌交给 PAM
用户不再输密码,而是通过自定义方式把 JWT 提交给服务器。