我已将 google-authenticator PAM 集成到我的 tacacs+ 服务器。我已按照这些在线资源中描述的步骤进行集成https://networkjutsu.com/tac-plus-google-authenticator/和https://geeksops.com/?p=530。一切都按预期正常工作。验证器应用程序生成的代码默认有效时间为 30 秒。此外,在生成 QR 码期间提示的提示是为了补偿时间偏差,它们允许在当前时间之前和之后使用额外的令牌,使默认窗口为 1 分 30 秒。实际提示如下所示。
默认情况下,令牌的有效期为 30 秒,为了补偿客户端和服务器之间可能存在的时间偏差,我们允许在当前时间之前和之后使用额外的令牌。如果您遇到时间同步不佳的问题,您可以将窗口从其默认大小 1:30 分钟增加到大约 4 分钟。你想这样做吗(是/否)
但是我的疑问是,生成代码的时间可以延长吗?(比如5分钟左右)
是的,我尝试通过对上述提示响应是来增加窗口。但我没有看到任何变化。如果可能的话,任何人都可以用更简单的术语解释提示的含义吗?
生成二维码命令时还会生成一个秘密文件~/.google_authenticator。所有对提示的响应都存储在其中。我试图更改秘密文件中的窗口大小,虽然它是一个只读文件,但我没有注意到任何变化,事实上它停止了对该特定用户的身份验证。以下是秘密文件的内容。
" RATE_LIMIT 3 30 16226417555 16226417621 " WINDOW_SIZE 17 " DISALLOW_REUSE 540880543 540880582 " TOTP_AUTH