Yubikey
Distribution: Ubuntu 14.04.1
Interface graphiques pour paramétrer la clé : http://www.yubico.com/products/services-software/personalization-tools/use/
Configuration pour un accès via SSH
- Pré-requis:
sudo apt-get install libpam-yubico libykclient3 |
Évidement la machine doit également être serveur SSH. Attention au firewall (UFW) également.
- S'assurer de la présence du module PAM:
ls -la /lib/security/pam_yubico.so |
- On lie l'utilisateur "yubi" à la clé (répértoire et fichier à créer):
sudo vi /home/yubi/.yubico/authorized_yubikeys
yubi:ccccccbdefgh |
La première partie correspond au login de l'utilisateur, la deuxième à la partie fixe d'un "one time password" (OTP) généré par la Yubikey.
- On édite /etc/pam.d/sshd en rajoutant au début du fichier:
auth required pam_yubico.so id=2458 key=ure8aX7mdExlmO0q44idqEICIuE= url=http://api.yubico.com/wsapi/2.0/verify?id=%d&otp=%s debug |
"id" et "key" se trouvent à cette adresse: https://upgrade.yubico.com/getapikey/
L'adresse est celle d'un serveur d'authentification YUBICO
- Puisque l'on à indiquer l'argument "debug" il faut créer le fichier et lui donner les droits en écriture pour tout le monde:
sudo touch /var/run/pam-debug.log
|
- On édite ensuite /etc/ssh/sshd_config:
PermitEmptyPasswords no PasswordAuthentication yes |
- On redémarre le service SSH
restart ssh |
Commentaires