我们正在尝试为生产服务器 SSH 连接设置 Tailscale。我们使用 Google Workspace 作为 Tailscale 的身份提供商。
由于生产服务器比与 Google Workspaces 相关的一般数据更加安全,因此我们希望确保任何 Tailscale 会话的会话超时时间较短,并且始终要求进行双因素身份验证。
默认情况下,Google Workspace 每个浏览器仅要求一次双因素身份验证,如果您想访问文档、电子邮件等,这没问题。用户在浏览器中登录服务后,它不会执行额外的两因素身份验证请求。
是否可以配置 Tailscale 和 Google Workspace 身份提供商,以便对于 Tailscale 应用程序/集成(无论正确的语言是什么),Google 至少每 24 小时提示一次双因素身份验证代码?
Google Workspace 是否支持按应用程序登录安全规则以使某些应用程序更加安全?
我们还发现,Tailscale SSH 与 Cloudflare Zero 不同,似乎无法与 google-authenticator PAM 模块 一起使用,这可能是一种解决方法。如果我这里错了请纠正我。
(虽然这个主题可能感觉离题,Tailscale 指示他们的人员将配置问题发布到 Stackoverflow)。
通过快速谷歌搜索,您可以在管理控制台中调整 2fa 提示的频率。
https://support.google.com/a/answer/9176657?hl=en (向下滚动至频率)
工作区似乎不支持每个应用程序规则,所以我想您只需要一直重新进行身份验证。 Tailscale 似乎有一个实验性的 PAM 模块。
https://github.com/tailscale/pam
因为这使用您的 tailscale 凭据,您可以使用您的 Workspace 帐户并在管理控制台中设置身份验证规则。然而,这个项目尚不适合在生产环境中使用。该页面警告您这是概念验证,并且该项目的安全性仍然未知。此外,它绝不是 Google 的 PAM 模块,并且 tailscale 与其兼容我完全不知道。