Ubuntu16でデフォルトのYubicloudサービスからコードを要求して認証するようにサーバーを設定するには、次のようにします。
pam_yubico.soはパスワード文字列から OTP を取り除き、pam_ldap.soが使用するプレフィックス・バイトを残します。
適切な手順を使用して、Linux ホストで Foxpass を構成します。手順は、左側の「Linux 構成」セクションに記載されています。設定中に使用した LDAP バインダーとパスワードは、後で必要になるため、必ずメモしておいてください。
次のコマンドを使用して、ホストにlibpam-yubicoパッケージをインストールします。
/etc/pam.d/common-authファイルをテキスト エディタで開き、「pam_yubico.so」行を次のように編集します。
# then the pam_yubico line, like so
auth required pam_yubico.so mode=client id=<YUBICLOUD_ID> key=<YUBICLOUD_KEY> ldap_uri=ldaps://ldap.foxpass.com ldapdn=ou=people,dc=example,dc=com user_attr=uid yubi_attr=yubikey_id ldap_bind_user=cn=binder,dc=example,dc=com ldap_bind_password=<FOXPASS_BIND_PW>
# this line is already in your common-auth file
auth required pam_ldap.so minimum_uid=1000 use_first_pass
# ... might be more below ...
YUBICLOUD_IDとYUBICLOUD_KEYはhttps://upgrade.yubico.com/getapikey/で生成できます。
ldapdnは ou=people + 基本 Foxpass DN です。
yubikey_idは、Foxpass で設定するカスタム ユーザー フィールドです。「構成」ページからカスタム フィールドを有効にし、「ユーザー」ページまたは/users/:username/API 呼び出しを使用して、ユーザーのキーを個別に設定します。
ldap_bind_userは、手順 1 で使用した LDAP バインダーの完全な名前です。
ldap_bind_passwordは、手順 1 で使用した LDAP バインダーのパスワードです。
テキスト エディターで/etc/ssh/sshd_configファイルを開き、ファイルの末尾に次の行を追加します。
これにより、サーバーは Yubikey 認証にインタラクティブなプロンプトを使用するようになります。注: 非対話型ユーザーがこれを機能させるには、追加の構成が必要です。
Foxpass のユーザー ページに移動し、ユーザーの Yubikey ID を OTP の最初の 12 文字に設定します。