4 231
modifications
Ligne 111 : | Ligne 111 : | ||
Pour vous loguer, il faudra entrer votre mot-de-passe unix suivi de l'OTP yubikey. | Pour vous loguer, il faudra entrer votre mot-de-passe unix suivi de l'OTP yubikey. | ||
=Authentification par password+yubikey= | |||
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) : | |||
<pre> | |||
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings | |||
</pre> | |||
Commentez ensuite la ligne <code>@include common-auth</code> et ajoutez 3 lignes suivantes. Votre configuration devrait ressembler à ça : | |||
<pre> | |||
# PAM configuration for the Secure Shell service | |||
# Yubikey auth | |||
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings | |||
# Standard Un*x authentication. | |||
#@include common-auth | |||
auth [success=1 default=ignore] pam_unix.so try_first_pass nullok_secure | |||
auth requisite pam_deny.so | |||
auth required pam_permit.so | |||
</pre> | |||
Empêchez other de lire la clé yubico : | |||
<pre>chmod o-r /etc/pam.d/sshd</pre> | |||
Vérifier aussi que l'auth par password est autorisé par ssh (<code>PasswordAuthentication yes</code> ou commenté dans /etc/ssh/sshd_config) | |||
Pour vous connecter, tapez le mot-de-passe ('''sans valider''') puis entrez l'OTP yubikey. | |||
=Authentification par yubikey seule= | =Authentification par yubikey seule= |