• Vastliggende pagina
  • Info
  • Bijlages

<< Terug naar Yubikey

Uitbreiding nodig: Dit artikel is onvolledig en moet worden uitgebreid. Meer info...

Inloggen als Ubuntu gebruiker met de Yubikey

Door deze wiki te volgen leert u hoe u een Yubikey in kunt stellen, zodat u hiermee in kunt loggen, sudo opdrachten uit kunt voeren. Deze wiki gaat ervan uit dat u een redelijk kennis hebt van de terminal en Ubuntu.

Yubikey PAM module installeren

Voor het inloggen, maken we gebruik van YubiPam, een PAM (Pluggable Authentication Modules) module ontwikkeld door Securixlive.

Om Yubipam te kunnen installeren, moet u root gebruiker worden. Dit kan met het volgende commando

sudo -i

Installeer de benodigdheden voor YubiPAM

apt-get install libpam0g-dev build-essential libykpers-1-1 yubikey-personalization

YubiPAM 1.0.4 is de nieuwste versie tijdens het schrijven van dit artikel, bekijk zelf of er een nieuwere versie beschikbaar is. Dat kan hier: http://www.securixlive.com/yubipam/download.php

cd /usr/local/src
wget http://www.securixlive.com/download/yubipam/YubiPAM-1.0.4.tar.gz

Installeer YubiPAM

tar xf YubiPAM-1.0.4.tar.gz 
cd YubiPAM-1.0.4
./configure
make install

Configureer YubiPAM

addgroup yubiauth
touch /etc/yubikey
chgrp yubiauth /etc/yubikey /sbin/yk_chkpwd
chmod g+rw /etc/yubikey 
chmod g+s /sbin/yk_chkpwd
exit

Yubikey en PAM configureren

Genereer een nieuwe 128-bit AES sleutel met het volgende commando. De output van dit commando is uw AES sleutel

dd if=/dev/urandom count=16 bs=1 2>/dev/null | od -x | tr -d ' ' | sed -n 's/^0000000//p'

sudo ykpersonalize -a<AES sleutel> -ofixed=ccccccbbltfi

Krijgt u een foutmelding bij het bovenstaande commando, dan kan het zijn de de kernel toegang tot de usb stick beperkt omdat het als een invoer apparaat wordt gezien. Dit kunt u verhelpen door vóór het commando eerst de usb module te verwijderen, en opnieuw te laden met bepaalde wijzigingen, dan de usb stick schrijven, en dan weer de standaard ingestelde usb module laden:

(alleen uitvoeren als u een foutmelding kreeg)
sudo rmmod usbhid
sudo modprobe usbhid quirks=0x1050:0x0010:0x04
sudo ykpersonalize -a<AES sleutel> -ofixed=ccccccbbltfi
sudo rmmod usbhid
sudo modprobe usbhid

De tekst ccccccbbltfi mag u naar eigen wens veranderen. Er zijn wel enkele restricties.

  1. Het moet uit 12 lowercase letters bestaan
  2. U kan de letters a,m,o,p,q,r,s,w,x,y,z niet gebruiken. Dit heeft te maken met verschillende keyboard layouts
  3. Wilt u later de key uploaden naar de yubico servers om weer op het forum in te kunnen loggen, dan moeten de eerste deze beginnen met vv.

Vervolgens verder met:

sudo ykpasswd -a --user ronnie -k <AES sleutel> -o <press Yubikey for Token>

Aan het eind van de uitvoer van dit commando komt Completed succesfully te staan, zodra alles goed gegaan is.

Het volgende commando test of de sleutel aan de gebruiker gekoppeld is.

ykvalidate --user ronnie <press Yubikey for Token>

Wanneer deze gekoppeld is, zou de output OTP is VALID. moeten verschijnen.

Voeg de Yubikey module toe aan PAM:

sudo gedit /etc/pam.d/common-auth

Plaats de volgende text bovenin het geopende bestand

auth sufficient pam_yubikey.so

Sla het bestand op en log opnieuw in.

AES sleutel uploaden naar Yubico

Het uploaden van uw AES sleutel is niet verplicht en ook niet nodig om op uw eigen computer in te loggen. Wilt u weer gebruik maken van de yubico services, zoals het forum en de openid server, dan moet u de nieuwe key uploaden naar de Yubico servers.

Dat gaar als volgt:

  1. Ga naar: https://yms.yubico.com/upload-aes-key/

  2. Your e-mail address: Vul hier uw email adres in.

  3. Serial number: Hier mag u gewoon 0 invullen

  4. Yubikey prefix: Dit is de 12 letterige code die u achter -ofixed= hebt ingevuld en moet beginnen met vv

  5. Internal identity: Wanneer u deze niet veranderd hebt is deze 12 nullen, dus 000000000000

  6. AES Key: Dit is de sleutel die u hebt aangemaakt in dit artikel ook wel <AES sleutel> genoemd

  7. Vul daarna de woorden van de recapcha in

  8. Zet de cursor in het vak na OTP from the YubiKey: en druk op uw Yubikey om hier de code in te voeren

De sleutel wordt nu naar de Yubico servers geüpload.

Het kan 15 minuten duren voordat deze verwerkt is.

Daarna kun u u weer valideren op de site: http://www.yubico.com/demo/one_factor.php

community/Yubikey/GebruikerInloggen (laatst bewerkt op 2012-06-16 16:48:19 door rachidbm)