Im nächsten Schritt lernt die PAM-Bibliothek des Systems, den Authenticator auch tatsächlich zu benutzen. Die gesamte PAM-Konfiguration liegt im Ordner
»/etc/pam.d
«
. PAM ist in Form von Modulen konstruiert; pro Applikation ist gesondert festzulegen, welche Module anzuwenden sind. Alle Dienste, die Googles Authenticator verwenden sollen, müssen in ihrer Konfiguration in
»/etc/pam.d/
Dienst
«
eine entsprechende Anweisung erhalten. Das Modul heißt
»pam_google_authenticator
«
. Damit der SSH-Dienst beispielsweise die Authentifizierung per Authenticator verwenden kann, muss sich
»/etc/pam.d/sshd
«
so ändern, dass die Datei mindestens die folgenden Zeile enthält:
auth required pam_google_authenticator.so
Im Falle von SSH ist außerdem zu beachten, dass in
»/etc/ssh/sshd_options
«
die Einträge
»ChallengeResponseAuthentication yes
«
und
»UsePAM yes
«
vorhanden sind. Wenn diese Einträge ergänzt wurden, ist
»sshd
«
neu zu starten.
Analog lässt sich die Zwei-Phasen-Authentifizierung für andere Dienste ebenso konfigurieren. Um Sudo entsprechend einzurichten, ist
»/etc/pam.d/sudo
«
korrekt anzupassen. Ein Reload der entsprechenden Dienste ist übrigens nur notwendig, wenn auch die Konfigurationsdateien der Services selbst für die Zwei-Phasen-Anmeldung verändert wurden, denn die PAM-Bibliothek liest die PAM-Einstellungen für einen Dienst jedes Mal automatisch wieder ein, wenn der über PAM eine Authentifizierung abwickelt.