Yubikey und die Anmeldung

Der yubikey sieht aus wie ein USB-Stick nur leider kann man damit nichts speichern. Wäre nett, wenn er auch gerade noch 8 GB Speicher enthalten würden. Man kann nicht alles haben…

Bei jeden Druck auf den scheinbaren Knopf wird eine Zeichenkette, die als One-Time-Password benutzt werden kann, generiert. Die ersten 12 Ziffern entsprechen der ID des yubikey.

Um nun etwas sinnvolles mit dem yubikey zu machen, kann er dazu benutzt werden, um sich am System anzumelden. Dazu wird zusätzlich pam_yubico benötigt.

yum install pam_yubico

Der nächste Schritt ist das Bearbeiten der Datei /etc/pam.d/gdm-password. Nach der Zeile

auth substack password-auth

muss folgende Zeile ergänzt werden, so dass das Passwort und das OTP gefordert wird.

In der Dokumentation zu pam_yubikey können weitere Details gefunden werden. In die angegebene Datei /etc/yubikey_mappings kann nun die Zuordnung der yubikeys zu den Benutzern vorgenommen werden. Die folgende Webseite kann dazu benutzt werden, um die ID herauszufinden oder noch einmal zu prüfen und danach einzutragen.

Nun kann man sich nur noch am System anmelden, wenn nach der Eingabe des Passwortes noch das OTP eingegeben wird.

This entry was posted in Fedora, Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.