Fórum Root.cz

Hlavní témata => Server => Téma založeno: tuxmartin 06. 12. 2015, 00:21:00

Název: Yubikey – přidání kódu za heslo
Přispěvatel: tuxmartin 06. 12. 2015, 00:21:00

Zkousel jsem na serveru pouzivat dvoufazove prihlasovani pomoci Google Authenticator (libpam-google-authenticator).

Na SSH funguje dobre, ale vadi mi ona "dvoufazovost". Samostatne zadam heslo a overovaci kod.
Chapu ten princip, nastavuje se to i v sshd (ChallengeResponseAuthentication).

Kód: [Vybrat]

$ ssh hostname
 login as: <username>
 Verification code: <generated/backup-code>
 Password: <password>
 $
Nekde jsem cetl, ze Youbikey ma jiny zpusob. Uzivatel prida overovaci kod na konec hesla a PAM modul si ho odrizne.

Rad bych neco podobneho. Kdyz nekterym uzivatelum zapnu Google Authenticator, tak aby zadavali heslo ve tvaru mojeHeslo1234, kde 1234 by byl kod z mobilu.
Takze by to pak funogvalo uplne vsude. Ne pouze na SSH a par podporovanych programu. Treba i na http basic auth.

Existuje nejaka moznost, jak to udelat?
Yubikey si zatim kupovat nechci, staci mi nezapominat nosti mobil, natoz dalsi vec.

Název: Re:Yubikey – přidání kódu za heslo
Přispěvatel: Mirek Prýmek 06. 12. 2015, 13:28:15

Citace: tuxmartin  06. 12. 2015, 00:21:00

Nekde jsem cetl, ze Youbikey ma jiny zpusob. Uzivatel prida overovaci kod na konec hesla a PAM modul si ho odrizne.

Yubikeys je několik druhů a různé druhy podporují různé protokoly. Ten nejlevnější (jediný cenově zajímavý) podporuje jenom U2F, což dost zajímavě navržený protokol, ale jeho použitelnost je zatím docela omezená, i když se dá doufat, že se časem rozšíří hlavně díky ohlášené nativní podpoře ve Windows 10. Není to ekvivalent OTP i když to tak z nějakých krátkých popisů může vypadat, a k použité jinému než v podporovaném browseru vyžaduje netriviální podporu v software [1]. Vyšší (a podstatně dražší) verze Yubikey pak mají klasické OTP.

Takže pokud bys uvažoval nad Yubikey, tak si předem dobře nastuduj, jestli to opravdu chceš a jestli to opravdu umí to, co si myslíš.

[1] viz https://plus.google.com/+MiroslavPrymek/posts/LnckaHqGLBC

Název: Re:Yubikey – přidání kódu za heslo
Přispěvatel: M. 06. 12. 2015, 14:16:07

Nu, můžeš zkusit použít LinOTP nebo (komercializovaný) OpenOTP, jejich moduly fungují jak chceš, vše do jendoho řádku. A můžeš používat normálně aplikaci do mobilu pro generování kódů, v podstatě i tu Googlí....
http://linotp.org/
Používáme to LinOTP, aŤ proti software authetikátorům v mobilu, tak přes yubikey NEO.
Třeba RedHat v Brně má nasazen ten OpenOTP.