Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
NETZ&SYSTEM<br />
YubiKey (Teil 2)<br />
YubiServer<br />
LU/yubiserver/<br />
README<br />
Der YubiKey-Token von<br />
Yubico dient als USB-<br />
Stick zum Übermitteln<br />
von Einmalpasswörtern<br />
für das Authentifizieren<br />
über unsichere Kanäle<br />
und löst damit Passwort-Probleme.<br />
Wir zeigen,<br />
wie Sie den Yubi-<br />
Key mit eigenen Passworten<br />
versehen und<br />
damit SSH-Zugänge zusätzlich<br />
absichern.<br />
Der erste Teil dieses Beitrags in<br />
LU 09/ 2012 [1] beschrieb die<br />
Prinzipien des YubiKey, die zugehörige<br />
Client-Server-Architektur<br />
zur Authentifizierung sowie die<br />
möglichen Einsatzbereiche. Der<br />
vorliegende Artikel widmet sich<br />
der Einbindung des YubiKey in<br />
die eigene Infrastruktur, der Verwendung<br />
als Pluggable Authentication<br />
Module (PAM) und dem<br />
Zusammenspiel mit einem Yubi-<br />
Key-Authentifizierungsserver.<br />
Sichere Authentifizierung<br />
mit dem YubiKey (Teil 2)<br />
Schlüsselerlebnis<br />
SSH-Zugänge gelten als sicher – sofern die Zugangsdaten<br />
in den richtigen Händen bleiben. Mit dem YubiKey<br />
ergänzen Sie ihr Sicherheitskonzept um eine wirksame<br />
2-Faktor-Authentifizierung. Thomas Osterried, Frank Hofmann<br />
YubiKey-Tools<br />
Grundsätzlich können Sie die auf<br />
dem YubiKey gespeicherten Daten<br />
nicht direkt auslesen. Sie erhalten<br />
lediglich die temporären<br />
Schlüssel als Ergebnis der entsprechend<br />
den beiden Slots zugewiesenen<br />
Aktionen, indem Sie<br />
den Knopf auf dem YubiKey drücken<br />
– weniger als 1,5 Sekunden<br />
für den ersten Slot und rund 3 Sekunden<br />
für den zweiten Slot. Die<br />
ersten zwölf Zeichen des dynamisch<br />
generierten Schlüssels beinhalten<br />
die Geräteidentifikation<br />
des YubiKey („Public ID“), die<br />
man in der Regel administrativ<br />
eindeutig einem Nutzer zuweist.<br />
An dieser Public ID orientiert sich<br />
der Autorisierungsserver zur<br />
Schlüsselüberprüfung.<br />
Die Konfiguration des YubiKey<br />
nehmen Sie entweder über die<br />
Kommandozeile mit dem Werkzeug<br />
Ykpersonalize aus dem Paket<br />
yubikey-personalization [2] vor<br />
oder mit dem grafischen YubiKey<br />
Personalization Tool (YKPT, [3]),<br />
einer Qt-Anwendung (Abbildung<br />
A). Neben kostenlos von<br />
der Herstellerwebseite verfügbaren<br />
Binärversionen für Linux, OS<br />
X und MS Windows stehen bereits<br />
seit Längerem fertige Pakete<br />
für Red Hat, Fedora, Ubuntu und<br />
Debian zur Verfügung. Letztere<br />
gibt es erst ab dem kommenden<br />
Debian-Release als Paket. Beide<br />
Programme liefen in Tests jedoch<br />
soweit fehlerfrei, obwohl die Pakete<br />
bislang nur zum Teil als stabil<br />
klassifiziert wurden. Auf Github<br />
[4] befindet sich ein Repository<br />
mit dem dazugehörigen<br />
Quellcode zum Selberbauen.<br />
Für das Ausführen sowohl von<br />
Ykpersonalize als auch YKPT benötigen<br />
Sie unter Debian und<br />
Ubuntu Root-Rechte (aufgrund<br />
einer vermurksten Udev-Regel),<br />
unter Mac OS X genügen bereits<br />
normale Benutzerrechte. Beide<br />
Werkzeuge zeigen die Seriennummer<br />
des YubiKey, die Versionsnummer<br />
der Firmware und damit<br />
auch die unterstützten Verfahren<br />
zur Authentifizierung an (Abbildung<br />
A, rechts).<br />
© Nikolai Sorokin, Fotolia<br />
68 10 | 12<br />
www.linux-user.de