SysFailure

Imprimer

Authentification locale à double facteur via U2F

.

Configuration du module pam_u2f

Le module pam_u2f va chercher les informations sur les clés dans un fichier, qui peut être général au système (/etc/u2f_mappings) ou propre à chaque utilisateur (~/.config/Yubico/u2f_keys). Pour des raisons de souplesse, nous recommandons la configuration par utilisateur.

Le fichier u2f_keys ne doit contenir qu'une seule ligne. Le fichier u2f_mappings doit contenir une ligne par utilisateur. La forme des lignes est identique pour les deux fichiers.

Le module pam_u2f va chercher dans le fichier u2f_keys ou u2f_mappings les informations nécessaires pour l'authentification. Ces informations sont produites à l'aide de la commande pamu2fcfg. Il suffit de lancer cette commande alors que la clé U2F n'est pas connectée, et de brancher la clé à la demande :

$ pamu2fcfg
No U2F device available, please insert one now, you have 14 seconds
Device found!
XXXX:YYYYY,ZZZZZ

Le XXXX correspond au nom de l'utilisateur.

Pour un utilisateur, la ligne produite doit être copiée dans le fichier u2f_keys. Si celui-ci contient déjà une ligne, les informations, après en avoir retiré le nom de l'utilisateur (XXXX ci-dessus), doivent être ajoutée à la ligne courante, séparée par deux points :

XXXX:informations,existantes:nouvelles,informations

Pour une configuration globale, les données produites par pamu2fcfg doivent être copiées dans le fichier u2f_mappings. S'il y a déjà une ligne pour l'utilisateur concerné, il faut ajouter les informations produites à cette ligne, après leur avoir ôté le nom de l'utilisateur, comme pour le fichier u2f_keys.