Utilisation avec PAM

La Yubikey est utilisée pour faire de la double authentification.

Exemple : Quand nous sommes sur le GDM, nous sélectionnons notre utilisateur et notre mot de passe (comme d'habitude) et suite à cela votre Yubikey va clignoter. Il faut donc la toucher pour dire que nous sommes physiquement devant le PC.

Si la clé n'est pas présente ou une autre clé est inséré, il est impossible de ce connecter `Mot de passe échoué`.

Voici comment configurer la Yubikey et PAM pour arriver à ce résultat :

Installation des paquets nécessaires

apt install libpam-u2f pamu2fcfg

ATTENTION

Si vous n'utilisez pas sudo sur votre machine. Les 2 prochaines manipulations sont a faire sur l'utilisateur root et sur votre utilisateur standard.

Configuration U2F pour l'utilisateur.

mkdir -p ${HOME}/.config/Yubico

Insérer votre Yubikey puis taper cette commande

INFORMATION

Au lancement de cette commande, votre Yubikey va clignoter. Appuyer dessus

pamu2fcfg -u ${USER} > ${HOME}/.config/Yubico/u2f_keys

Configuration de PAM avec l'utilisateur root.

echo "auth required pam_u2f.so" | tee -a /etc/pam.d/common-auth

Déconnecter votre utilisateur pour prendre en charge ces modifications.

Désormais, pour chaque authentification locale (connexion à la console, connexion à l'interface graphique, sudo, verrouillage de l'écran du bureau), vous devrez utiliser votre Yubikey. Notez que l'authentification à distance (connexions SSH) ne sera pas impactée.

Source

https://gist.github.com/jmlemetayer/20e936a2ef4c7e10804a69fdacab9ca4