Yubikey for Unix

Fordi Bjens er sånn en kjernekar og skriver om Yubikey og Windows, tar jeg stafettpinnen videre og skrive et par stavelser om Yubikey og UNIX!
Lets face it… Vi i TIHLDE Drift er glad i Unix og Linux baserte systemer, så da er det på sin PLASS at også Yubikeyen skal få gjennomgå av oss også!

Som Bjens har også JEG en Yubikey. Den ser slik ut:

Systemene jeg bruker er OS X på desktopen og Ubuntu på serverne. Plunder og heft med Yubikey på denne comboen? Såklart ikke!
Unix – baserte systemer benytter seg av en autentiseringsmetode som kalles PAM. I pam.d – mappa di ligger regler for de forskjellige brukernivåene på maskinen din: Det er ei fil for sudo, su, common – brukere osv osv. Så hvor kommer Yubikeyen inn i dette? Jo med et par pakker kan denne PAMen få støtte for Yubikey – autentisering! Så la oss begynne:

På Ubuntu:

sudo add-apt-repository ppa:fredrikt/yubico  // Vi rapper koden hos hyggelige Fredrikt som har mekka git for oss
sudo apt-get update
sudo apt-get install libpam-yubico

PAM – mappa di har nå yubikey – støtte. Fett? Ikke helt enda:

Naviger deg til https://upgrade.yubico.com/getapikey/.

Her skal du skrive inn en epostadresse og en Yubikeynøkkel. Denne får du enkelt ved å sette inn brikken din og trykke på knappen.
Du får nå servert en klient – ID og en nøkkel. Ta vare på denne infoen, den skal vi bruke senere!
Nå skal vi lage en fil for hvilke brukere som skal ha lov til å bruke denne nøkkelen. For all enkelhets skyld legger vi denne i /etc/ mappa:
vim yubikey
legg så til brukernavn og de 12 (viktig! må være 12) første tegnene på yubikeyen din slik:
brukernavn:tegnene
denne fila skal vi bruke videre!

Nåviger så til /etc/pam.d/. Her skal du åpne en av filene, jeg velger meg sudo – fila. Denne fila bestemmer hvordan du skal autentisere deg for å få sudo – rettigheter.
Legg til følgende linje:
auth    required        pam_yubico.so authfile=/etc/yubikeys id= key=
ID og key er opplysningene du noterte deg tidligere.
Lagre fila di, logg ut og åpne en terminal. Når du nå kjører en sudo -s vil du bli spurt etter passord OG yubikey. Fett?? EKSTREMT!
Det er verdt å merke seg at dette er en online – verifisering, og dekker ikke challange – respons. Dette vil si: er du offline, no sudo for you.
Men kult LÆL.

På Mac OS X:

Her kreves det litt triksing. Du kan endten hente ned koden fra github selv på https://github.com/Yubico/yubico-pam, kompilere og så følge skrittene over,
eller gjøre som meg og installere Macports (du vil jo ha pakkehåntering på macen din lizm) og kjøre en sudo port install yubico-pam.
Så er det bare å følge samme skrittene som på Ubuntuen. Det funker rett og slett!

Leave a Reply

Your email address will not be published. Required fields are marked *