[GELÖST] 2FA OTP vs. Console/SSH

[Oxygen61]

Hallo Leute,

folgendes Problem.
Ich hab 2FA für root und meinen Administrationsaccount "admin" eingestellt und alles funktionierte super.
Ich habe ebenfalls wie hier beschrieben den Fallback ausgeschalten: https://docs.opnsense.org/manual/two_factor.html#time-based-one-time-password

To prevent GUI lockout due to unavailable remote authentication server, the system has a default fallback to the local database. In case of 2FA for the GUI one needs to disable the fallback option to make sure no local user can gain access without 2FA.

Jetzt nach fast nem Monat muss ich tatsächlich mal wieder an die Konsole und wie man wahrscheinlich denken könnte ist durch das Abschalten der Local Database nun das Problem entstanden, dass ich mich nicht mehr auf die Konsole schalten kann. Aktiviere ich die Local Database wieder als Fallback ist doch aber der Vorteil des 2FA verschwunden oder? Kann man das irgendwie "schön" lösen?
In der Anleitung steht ja auch folgendes:

All services of OPNsense can be used with this 2FA solution, with the exception of console/ssh access.

Was nun? :(

Schöne Grüße
Oxy

[franco]

Hi Oxy,

Ne, seit 17.1 geht auch SSH/Console/Sudo (u.ä.):

https://github.com/opnsense/changelog/blob/b5077e6ffd6416a85ffca96a850a6ba2e01e78de/doc/17.1/17.1#L44


Grüsse
Franco

[franco]

PS:Der implizite Fallback war gedacht für LDAP primär, Lokal sekundär. Als TOTP hinzu kam machte es TOTP+Lokal als primär eher unsinnig, daher kann man es seit dem auch auswählen und sogar ausstellen.

[Oxygen61]

Hey franco,

wie immer alles i.O. ... lag an mir...
Ich hatte aus Security Sicht dem Admin Account nur GUI Administrationsrechte gegeben und keinen Shell Zugriff.
Beim root hatte ich mich wahrscheinlich einfach nur vertippt.
Wie auch immer... Alles Supi jetzt! :)

Schönes Restwochenende,
Oxy

[franco]

Super, gleichfalls! :)