« Authentification SSH multi-facteur avec YubiKey et clés publique SSH » : différence entre les versions

Aller à la navigation Aller à la recherche

Authentification SSH multi-facteur avec YubiKey et clés publique SSH (voir la source)

Version du 10 octobre 2020 à 11:36

1 781 octets enlevés ,  10 octobre 2020
aucun résumé des modifications
Aucun résumé des modifications
Ligne 6 : Ligne 6 :
<br><br><br>
<br><br><br>


=Authentification par clé privé + password|OTP=
=Configuration globale=
 
Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).


Installez le paquet libpam-yubico qui ajoute le support des yubikey dans PAM :
<pre>aptitude install libpam-yubico</pre>
<pre>aptitude install libpam-yubico</pre>


Ligne 22 : Ligne 21 :


Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/
Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/
=Authentification par clé privé + password|OTP=
Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).


Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Ligne 45 : Ligne 48 :


Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).
Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).
<pre>aptitude install libpam-yubico</pre>
Créez le fichier <code>/etc/yubikey_mappings</code> qui va contenir l'association entre chaque utilisateur et le token ID yubikey (c'est les 12 premiers caractères issus d'un OTP d'une yubikey). Vous pouvez en spécifier plusieurs en les séparant par <code>:</code>
<pre>
cat > /etc/yubikey_mappings <<EOF
pfoo:cccccatsdogs:ccccdogscats
EOF
</pre>
Attention, si vous souhaitez utiliser la yubikey pour vous loguer en root, pensez à ne PAS désactiver le login root par password dans <code>/etc/ssh/sshd_config</code> (<code>PermitRootLogin yes</code>)
Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/


Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Ligne 85 : Ligne 75 :
=Authentification par password + OTP=
=Authentification par password + OTP=


<pre>aptitude install yubico-pam </pre>
Éditez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-account</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
 
Créez le fichier <code>/etc/yubikey_mappings</code> qui va contenir l'association entre chaque utilisateur et le token ID yubikey (c'est les 12 premiers caractères issus d'un OTP d'une yubikey). Vous pouvez en spécifier plusieurs en les séparant par <code>:</code>
<pre>
cat > /etc/yubikey_mappings <<EOF
pfoo:cccccatsdogs:ccccdogscats
EOF
</pre>
 
Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/
 
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-account</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
<pre>
<pre>
auth      requisite pam_yubico.so id=90736 key="AgIrWevHerogikhoapHaiWeykWy"  authfile=/etc/yubikey_mappings debug
auth      requisite pam_yubico.so id=90736 key="AgIrWevHerogikhoapHaiWeykWy"  authfile=/etc/yubikey_mappings debug
Ligne 112 : Ligne 91 :


=Authentification par yubikey seule=
=Authentification par yubikey seule=
<pre>aptitude install libpam-yubico</pre>
Créez le fichier <code>/etc/yubikey_mappings</code> qui va contenir l'association entre chaque utilisateur et le token ID yubikey (c'est les 12 premiers caractères issus d'un OTP d'une yubikey). Vous pouvez en spécifier plusieurs en les séparant par <code>:</code>
<pre>
cat > /etc/yubikey_mappings <<EOF
pfoo:cccccatsdogs:ccccdogscats
EOF
</pre>
Attention, si vous souhaitez utiliser la yubikey pour vous loguer en root, pensez à ne PAS désactiver le login root par password dans <code>/etc/ssh/sshd_config</code> (<code>PermitRootLogin yes</code>)
Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/


Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) :
Pfoo
Bureaucrates, Administrateurs
4 231

modifications

Récupérée de « https://wiki.unscdf.org/index.php?title=Spécial:MobileDiff/3456 »

Menu de navigation