Google Authenticator nur mit zweitem Code

[pluemmi]

Hallo,

ich habe Google Authenticator auf einem Raspberry Pi und einem Ubuntu-Server installiert.
Als App nutze ich auch Google Authenticator.

Auf beiden Plattformen habe ich exakt das gleiche Problem:

Egal wie ich den Authenticator für den User aufsetze, z.B.

• alle Sicherheitsvorschläge mit "y" beantwortet
• alle Sicherheitsvorschläge mit "no" beantwortet
• Window-Size alles zwischen 4 und 17

egal von welchem Gerät ich via SSH reingehe, es läuft immer nach dem gleichen Muster ab:

1. Eingabe Passwort, Eingabe Code -> der Code wird nochmal gefragt.
2. Abwarten, bis in der App der nächste Code kommt (oder bei re-use=allowed unter 3. den gleichen Code nochmals)
3. Code eingeben -> ich bin drin

Ich komme NIE mit dem ersten Code rein und IMMER mit dem zweiten.

Irgendeine Idee?

Gruß
Wolfgang

Ergänzung (15. September 2020)

Die Zeitsynchronisation in der App habe ich natürlich gemacht.
Der PI und der Ubuntu laufen auch auf exakter Zeit

 

[Joshinator]

Ich nutze Googles 2FA auch auf meinem Server, generiert habe ich die Codes auch alle mit Y ("sicher genug" mit den anderen Absicherungen). Hat aber immer auf Anhieb funktioniert, also einrichten und Code eingeben.

Hast du schonmal eine andere 2FA Apps versucht? Ich nutze z.B. Aegis, hat noch andere Goodies wie Ex/Import von Tokens und Passwortschutz im Gegensatz zu Googles App.

Sonst, wie sieht deine PAM Config für SSH aus? Kann es sein das du da irgendwie zweimal das Google Authenticator Modul eingebunden hast? Eher unwahrscheinlich wenn du das gleiche Problem auf zwei Maschienen hast.

 

[pluemmi]

Danke für den Hinweis. Das war das Problem.
Die Anleitung, der ich gefolgt bin, trägt "auth required pam_google_authenticator.so nullok" in zwei verschiedene PAM-Dateien ein. Nur ein Eintrag ist aber nötig.