Uitbreiding nodig: Dit artikel is onvolledig en moet worden uitgebreid. Meer info... |
Inloggen als Ubuntu gebruiker met de Yubikey
Geschikt voor: Versie: 10.04 LTS
Door deze wiki te volgen leert u hoe u een Yubikey in kunt stellen, zodat u hiermee in kunt loggen, sudo opdrachten uit kunt voeren. Deze wiki gaat ervan uit dat u een redelijk kennis hebt van de terminal en Ubuntu.
Yubikey PAM module installeren
Voor het inloggen, maken we gebruik van YubiPam, een PAM (Pluggable Authentication Modules) module ontwikkeld door Securixlive.
Om Yubipam te kunnen installeren, moet u root gebruiker worden. Dit kan met het volgende commando
sudo -i
Installeer de benodigdheden voor YubiPAM
apt-get install libpam0g-dev build-essential libykpers-1-1 yubikey-personalization
YubiPAM 1.0.4 is de nieuwste versie tijdens het schrijven van dit artikel, bekijk zelf of er een nieuwere versie beschikbaar is. Dat kan hier: http://www.securixlive.com/yubipam/download.php
cd /usr/local/src wget http://www.securixlive.com/download/yubipam/YubiPAM-1.0.4.tar.gz
Installeer YubiPAM
tar xf YubiPAM-1.0.4.tar.gz cd YubiPAM-1.0.4 ./configure make install
Configureer YubiPAM
addgroup yubiauth touch /etc/yubikey chgrp yubiauth /etc/yubikey /sbin/yk_chkpwd chmod g+rw /etc/yubikey chmod g+s /sbin/yk_chkpwd exit
Yubikey en PAM configureren
Genereer een nieuwe 128-bit AES sleutel met het volgende commando. De output van dit commando is uw AES sleutel
dd if=/dev/urandom count=16 bs=1 2>/dev/null | od -x | tr -d ' ' | sed -n 's/^0000000//p'
sudo ykpersonalize -a<AES sleutel> -ofixed=ccccccbbltfi
Krijgt u een foutmelding bij het bovenstaande commando, dan kan het zijn de de kernel toegang tot de usb stick beperkt omdat het als een invoer apparaat wordt gezien. Dit kunt u verhelpen door vóór het commando eerst de usb module te verwijderen, en opnieuw te laden met bepaalde wijzigingen, dan de usb stick schrijven, en dan weer de standaard ingestelde usb module laden:
(alleen uitvoeren als u een foutmelding kreeg) sudo rmmod usbhid sudo modprobe usbhid quirks=0x1050:0x0010:0x04 sudo ykpersonalize -a<AES sleutel> -ofixed=ccccccbbltfi sudo rmmod usbhid sudo modprobe usbhid
De tekst ccccccbbltfi mag u naar eigen wens veranderen. Er zijn wel enkele restricties.
- Het moet uit 12 lowercase letters bestaan
- U kan de letters a,m,o,p,q,r,s,w,x,y,z niet gebruiken. Dit heeft te maken met verschillende keyboard layouts
Wilt u later de key uploaden naar de yubico servers om weer op het forum in te kunnen loggen, dan moeten de eerste deze beginnen met vv.
Vervolgens verder met:
sudo ykpasswd -a --user ronnie -k <AES sleutel> -o <press Yubikey for Token>
Aan het eind van de uitvoer van dit commando komt Completed succesfully te staan, zodra alles goed gegaan is.
Het volgende commando test of de sleutel aan de gebruiker gekoppeld is.
ykvalidate --user ronnie <press Yubikey for Token>
Wanneer deze gekoppeld is, zou de output OTP is VALID. moeten verschijnen.
Voeg de Yubikey module toe aan PAM:
sudo gedit /etc/pam.d/common-auth
Plaats de volgende text bovenin het geopende bestand
auth sufficient pam_yubikey.so
Sla het bestand op en log opnieuw in.
AES sleutel uploaden naar Yubico
Het uploaden van uw AES sleutel is niet verplicht en ook niet nodig om op uw eigen computer in te loggen. Wilt u weer gebruik maken van de yubico services, zoals het forum en de openid server, dan moet u de nieuwe key uploaden naar de Yubico servers.
Dat gaar als volgt:
Your e-mail address: Vul hier uw email adres in.
Serial number: Hier mag u gewoon 0 invullen
Yubikey prefix: Dit is de 12 letterige code die u achter -ofixed= hebt ingevuld en moet beginnen met vv
Internal identity: Wanneer u deze niet veranderd hebt is deze 12 nullen, dus 000000000000
AES Key: Dit is de sleutel die u hebt aangemaakt in dit artikel ook wel <AES sleutel> genoemd
Vul daarna de woorden van de recapcha in
Zet de cursor in het vak na OTP from the YubiKey: en druk op uw Yubikey om hier de code in te voeren
De sleutel wordt nu naar de Yubico servers geüpload.
Het kan 15 minuten duren voordat deze verwerkt is.
Daarna kun u u weer valideren op de site: http://www.yubico.com/demo/one_factor.php