yubikey OTP fĂŒr TwoFactorPAMConfiguration in Gnome3 unter Debian Wheezy

3 03 2012

Seit gestern habe ich fĂŒr meine Anmeldung sprich meine Gnome3 Session eine TwoFactorPAMConfiguration mit meinem yubikey und es funktioniert wirklich gut. Der yubikey ist ein kleines USB-Device, dass bei BerĂŒhrung eine OTP generiert und sich aber auch mit einem statischen SchlĂŒssel mit AES vershen lĂ€sst.

Was brauchen wir fĂŒr die TwoFactorPAMConfiguration:

  • einen validen yubike ohne Personalisierung (lĂ€sst sich hier prĂŒfen)
  • eine yubikey API-Key (API-Key anfordern)
  • und ihr mĂŒsst eure 12-stellige yubikey token ID auslesen, die yubikey-id ist der „Modhex encoded“
  • hier braucht die libpam-yubico

So und los geht es.

  1. Installation der libpam:
    # apt-get install libpam-yubico
  2. Erstellen der yubikey keymaps, diese Datei dient dazu den yubikey mittels seiner token id an den user zu binden
    # vi /etc/yubikey_mappings     (geht auch per user, dies ist eine zentrale config)
    mit folgendem inhalt
    user:yubikey token ID
  3. Danach muss die PAM-Authentifizierung in die folgenden Dateien eingetragen werden # /etc/pam.d/gdm3
    # /etc/pam.d/gdm3-autologin
    # /etc/pam.d/gnome-screensaver
    in diese Dateien fĂŒgt hier folgende Zeile  hinzu:

    auth sufficient pam_yubico.so id=api-key authfile=/etc/yubikey_mappings

Jetzt könnt ihr es testen, meldet euch ab und habt keine Angst vor Aussperrung bei Fehlfunktion, mit einer Live CD könnt ihr euch ja einfach wieder retten. Jetzt sollte beim anmelden nach der Eingabe eures Passworts die Anmeldung noch eine OTP vom yubikey verlangen, Finger drauf und schon seit ihr drin.

NatĂŒrlich lĂ€sst sich dieses PAM-Modul auch in die anderen Logins einbinden, wie z.b in die „/etc/pam.d/login“ fĂŒr ssh usw.. Auch lĂ€sst sich noch ein debugging einarbeiten und und, aber dazu spĂ€ter mehr. Auch im Forum gibt es noch eine Sache die mich reizt, dass sperren des Screens mit dem yubikey.

ZusÀtzliche Informationen findet ihr auch noch mal hier.

 


Aktionen

Informationen

Schreib einen Kommentar

Du kannst diese Tags verwenden : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>