pam_radius和NPS密码前的OTP

Question

我已经在Ubuntu客户端上成功地配置了pam_radius，以便向用户请求OTP。radius服务器是一个具有Azure MFA扩展的NPS。OTP被检查为Azure。

它运行良好，但我不希望将用户凭据发送到NPS，这样只检查OTP。另外，在输入密码之前向用户询问OTP也是很好的。

我在其他地方(https://learn.microsoft.com/en-us/answers/questions/20921/mfa-nps-error.html)读到，如果我们选择NPS上的“接受用户而不验证凭据”(除了pam_radius_auth配置上的"skip_passwd“)，这是可行的--但它不起作用。

这是因为pam_radius总是试图同时使用密码和OTP进行身份验证吗？或者NPS总是要求一个密码？但是另一方面，在pam_radius_auth文档中，它说在这种情况下，skip_pass将发送一个null作为密码，那么为什么我仍然被要求提供密码呢？

最好的，弗朗西斯

Answer 1

刚刚搞错了:在“接受用户而不验证凭据”上滴答一下就成功了。我错了，在身份验证设置下，使用“允许客户端连接而无需协商身份验证方法”。现在，它可以按需要工作。

Answer 2

你能分享一下你这样做的步骤吗？我目前正试图做同样的事情。我们已经为我们的online/exchange/vpn设置了带有ms身份验证器的mfa，但我们也希望在我们的ubuntu桌面GUI上实现这一点。

我已经能够在每个系统上使用ms身份验证程序在本地实现google身份验证器，但这需要向应用程序添加一个新帐户，我想使用用户已经在使用的当前mfa。

我们已经有了radius/ntp/azure，我只是不知道在ubuntu桌面端需要做些什么才能连接到它。