Установка необходимых пакетов
Для работы нам понадобиться 3 пакета:
- pam_u2f – модуль PAM с поддержкой технологий аутентификации U2F и FIDO2.
- libfido2 – пакет создает конфигурацию для модуля pam-u2f и осуществляет процедуру регистрации аутентификатора U2F/FIDO2.
- fido2 – пакет для управления аутентификатором U2F/FIDO2 (например, сброс токена или назначения PIN-кода).
Для установки этих пакетов необходимо открыть терминал и выполнить команду:
$ su - # apt-get install pam_u2f libfido2 fido2
В ОС Альт Рутокен MFA можно использовать в двух сценариях аутентификации:
- Как второй фактор после ввода логина и пароля в виде прикосновения к токену.
- Как замена ввода пароля на ввод PIN-кода Рутокен MFA и прикосновение к токену.
Установка нового PIN-кода для Рутокен MFA
- Запустить терминал.
- Подключить Рутокен MFA.
Вывести список подключенных устройств. Для этого выполнить команду:
$ fido2-token -L
Вывод команды должен быть следующим:
/dev/hidraw1: vendor=0x0a89, product=0x0093 (Aktiv Co. FIDO)
Нам понадобится строка /dev/hidraw1
Выполним команду установки нового PIN-кода:
$ fido2-token -S /dev/hidraw1
Дважды введем новый PIN-код:
Enter new PIN for /dev/hidraw1: Enter the same PIN again:
Рутокен MFA готов к работе.
Настройка второго фактора
Запустить терминал.
Выполнить команду:
$ mkdir -p /tmp/aktivco/
- Подключить Рутокен MFA
Выполнить команду:
$ pamu2fcfg > /tmp/aktivco/u2f_keys
В процессе выполнения команды необходимо будет прикоснуться к устройству Рутокен MFA.
Выполнить команду:
$ su - # mkdir -p /etc/aktivco
Выполнить команду:
$ su - # mv /tmp/aktivco/u2f_keys /etc/aktivco/u2f_keys
Выполнить команду:
$ su - # nano /etc/pam.d/system-auth-local-only
Добавить строку:
auth sufficient pam_u2f.so authfile=/etc/aktivco/u2f_keys
- Сохранить файл /etc/pam.d/system-auth-local-only
Проверить что запрашивается касание в момент входа пользователя, выполнив команду:
$ su user
Настройка связки PIN-код+касание:
Запустить терминал.
Выполнить команду:
$ pamu2fcfg -u <username> >> /tmp/u2f_mappings # В случае ввода команды без параметра <username> файл конфигурации будет создан для текущего пользователя
В процессе выполнения команды необходимо будет прикоснуться к устройству Рутокен MFA.
В результате должен появиться файл со следующим содержимым:
$ cat /tmp/u2f_mappings user:hOzdi1ekgoVWLEzQH20uWJmoA3Dwno53zd2WCvlApHwfMVp/zz3+awUbeCL0E3pe,jzL+t6w7vhBgR2wwO+61/g8aliGNbDUpYZj6mxLXain4F1bQB0rvnwzP3n+n/GIXUp5Oiui0Du7/aKP/pE27PQ==,es256,+presence
Настройка для нескольких пользователей
Если вам необходимо настроить аутентификацию для двух пользователей на одно устройство Рутокен MFA, необходимо выполнить шаг 3 с указанием нужных пользователей.
Выводы команд cat /tmp/u2f_mappings, необходимо скопировать и внести в файл /etc/u2f_mappings в любом доступном текстовом редакторе.
Файл будет иметь следующий вид:root:8lMm/uSyoGpsGB479EhldWLQEhiGHbPl6q20ATVVprpqtEDR/WomNoDwVHe9ic71,ndk/EAiGuQjgbsWpKSq8NMrJljp+NkLWli5P45fjmh5gKQnZUQ5E1pQd3CMtQ4aRvUod6YQoenAIsIVZiuM4iA==,es256,+presence
user:PIhZbyWfUOgJjeBkXApuP+OMynOwl7lW7jCfEqhTjYAgbi0OTaPHhzZ4s+VeM6db,es9oaEOS5L4yo9DNnoesJqiq8/y2E+xs89BwxNK2mn1g463yCpRaDTkEd9bQE3YRDj6El1suKjv5GUAvwjxevg==,es256,+presence
Выполнить команду:
$ su - # mv /tmp/u2f_mappings /etc/u2f_mappings
Проверить права доступа к файлу
После редактирования файла необходимо убедиться что доступ к файлу на чтение есть у всех необходимых пользователей
Выполнить команду:
$ su - # nano /etc/pam.d/system-auth-local-only
Добавить строку:
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
- Сохранить файл /etc/pam.d/system-auth-local-only
Проверить что запрашивается PIN-код Рутокен MFA при входе пользователя, выполнив команду:
$ su user Please enter the PIN: Please touch the device.
- Проверить графический вход в систему. Вводим пин-код и прикасаемся к токену:
