LinuxUser Office Perfekt (Vorschau)

YubiKey (Teil 2)
NETZ&SYSTEM
Bei dieser Art der Anwendung
entspricht die PIN praktisch dem
Unix-Passwort. Das sollten Sie
bedenken: Der zusätzliche Faktor
erhöht zwar den Schutz, jedoch
sollten Sie der PIN nicht für andere,
nicht durch den YubiKey abgesicherte
Dienste benutzen (zum
Beispiel zum Autorisieren an einem
Mail-Server).
YubiKey-Bibliotheken
Die C-Bibliothek Libyubikey [6]
kapselt die Kommunikation zwischen
Betriebssystem und dem
YubiKey. Sie dient zum Entschlüsseln
und Parsen der
YubiKey-OTPs. Dazu interagiert
sie mit den Bibliotheken Lib ykpers
(für „YubiKey Personalization“)
und Libpam-yubico.
Die Bibliothek Libpam-yubico
interagiert als Middleware mit
der Benutzerschnittstelle (Frontend)
sowie mit der Libykclient3,
die als Verbindung zum Auto ri sierungs
backend dient, wie etwa der
YubiCloud. Abbildung D und Abbildung
E veranschaulichen die
Abhängigkeiten.
PAM-Integration
Im Folgenden zeigen wir die Konfiguration
für den YubiKey mit
2-Faktor-Autorisierung über Libpam
für ein SSH-Login. Nach der
Einrichtung können Sie sich über
die Secure Shell auf dem Zielsystem
anmelden, indem Sie PIN
und YubiKey OTP miteinander
kombinieren. Die Abbildung F
stellt den Ablauf und das Zusammenspiel
der Dienste dar.
Damit diese Form der Anmeldung
gelingt, sind mehrere
Schritte notwendig. Das beinhaltet
insbesondere Eingriffe am Autorisierungssystem
PAM – als jener
Instanz, die dafür sorgt, dass
sich nur die Personen auf ihrem
System anmelden, die auch über
die dazu notwendigen Berechtigungen
verfügen und diese tatsächlich
vorweisen können.
Als ersten Schritt stellen Sie sicher,
dass auf dem Zielsystem das
Paket libpam-yubico installiert ist.
Libpam-yubico benötigt weitere
Pakete wie beispielsweise libpamruntime
und libyubikey0, welche
die Paketverwaltung bei richtig
gesetzten Abhängigkeiten automatisch
nachzieht.
Im zweiten Schritt konfigurieren
Sie den SSH-Daemon Sshd
auf dem Zielsystem. Zunächst
überprüfen Sie die Datei /etc/ssh/
sshd_config: Sie muss die Zeilen
UsePAM yes und ChallengeResponseAuthentication
no enthalten. Im
Auslieferungszustand ist das in
der Regel bereits der Fall, und
SSH führt eine Authentifizierung
über PAM durch.
In Schritt 3 passen Sie das PAM-
Modul für SSH auf dem Zielsystem
an. Dazu öffnen Sie als Root
die Datei /etc/pam.d/sshd mit einem
Texteditor und suchen darin
den Eintrag @include common-account
(Zeile 11 in Abbildung G,
folgende Seite). Diese Zeile kommentieren
Sie mit einem „#“ aus.
Danach fügen Sie darunter die
folgenden beiden Zeilen hinzu:
auth required pam_yubico.so id=16
auth required pam_unix.so nullokU
_secure try_first_pass
Die Reihenfolge der zwei Zeilen
ist wichtig – bitte behalten Sie
diese daher unbedingt bei, weil
ansonsten die Anmeldung am
System schiefgeht.
Die erste Zeile legt das PAM-Modul
pam_yubico.so als erste Stufe
zur Authentifizierung fest. Dieses
Modul verarbeitet zunächst alle
Passwortangaben bei der Anmeldung
über SSH. Dabei zerlegt es
die Passwortangaben wieder in
die zwei Bestandteile PIN und
Yubico OTP und sendet Letzteres
über HTTP(S) an die Validierungsinstanz
YubiCloud. Die
nachgestellte Option id=16 signalisiert
der YubiCloud, dass es sich
um einen YubiKey im Auslieferungszustand
handelt, dessen
YubiKey OTP sie auf Gültigkeit zu
überprüfen hat.
Die zweite Zeile übergibt die
vorher separierte PIN an das
PAM-Modul pam_unix.so, das die
Zeichenkette mit dem Passwort
auf dem Zielsystem vergleicht.
Liefern beide PAM-Module ein
OK zurück, übermittelt PAM den
Rückgabewert PAM_SUCCESS, die Authentifizierung
war erfolgreich.
E Paketabhängigkeiten
der Libpam-yubico,
dargestellt in der Apt-
Shell.
GLOSSAR
PAM: Pluggable Authentication
Modules (PAM).
Eine Softwarebibliothek,
die eine gemeinsame
Programmierschnittstelle
für Authentisierungsdienste
zur Verfügung
stellt.
F Das Zusammenspiel
zwischen den Komponenten
zur Authentifizierung.
www.linux-user.de
10 | 12 71