4 231
modifications
« Authentification SSH multi-facteur avec YubiKey et clés publique SSH » : différence entre les versions
Aller à la navigation
Aller à la recherche
Authentification SSH multi-facteur avec YubiKey et clés publique SSH (voir la source)
Version du 27 mai 2014 à 10:36
, 27 mai 2014aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 57 : | Ligne 57 : | ||
Pour vous loguer, il faudra entrer votre mot-de-passe unix suivi de l'OTP yubikey. | Pour vous loguer, il faudra entrer votre mot-de-passe unix suivi de l'OTP yubikey. | ||
=auth par yubikey seule= | |||
<pre>aptitude install libpam-yubico</pre> | |||
Créez le fichier <code>/etc/yubikey_mappings</code> qui va contenir l'association entre chaque utilisateur et le token ID yubikey (c'est les 12 premiers caractères issus d'un OTP d'une yubikey). Vous pouvez en spécifier plusieurs en les séparant par <code>:</code> | |||
<pre> | |||
cat > /etc/yubikey_mappings <<EOF | |||
pfoo:cccccatsdogs:ccccdogscats | |||
EOF | |||
</pre> | |||
Attention, si vous souhaitez utiliser la yubikey pour vous loguer en root, pensez à ne PAS désactiver le login root par password dans <code>/etc/ssh/sshd_config</code> (<code>PermitRootLogin yes</code>) | |||
Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/ | |||
Editez le fichier <code>/etc/pam.d/sshd</code> et ajoutez la ligne suivante avant <code>@include common-auth</code> (remplacez XXXX par le <code>Client ID</code> que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la <code>Secret key</code>) : | |||
<pre> | |||
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings | |||
</pre> | |||
Commentez ensuite la ligne <code>@include common-auth</code> et ajoutez la ligne <code>auth [success=1 default=ignore] pam_unix.so try_first_pass nullok_secure</code> a la place. Votre configuration devrait ressembler à ça : | |||
<pre> | |||
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings | |||
#@include common-auth | |||
auth [success=1 default=ignore] pam_unix.so try_first_pass nullok_secure | |||
</pre> | |||
Vérifier aussi que l'auth par password est autorisé par ssh (<code>PasswordAuthentication yes</code> dans /etc/ssh/sshd_config) | |||