SysFailure

Imprimer

Authentification locale à double facteur via U2F

.

Configuration du module pam_u2f

Le module pam_u2f va chercher les informations sur les clés dans un fichier, qui peut être général au système (/etc/u2f_mappings) ou propre à chaque utilisateur (~/.config/Yubico/u2f_keys). Pour des raisons de souplesse, nous recommandons la configuration par utilisateur.

Le fichier u2f_keys ne doit contenir qu'une seule ligne. Le fichier u2f_mappings doit contenir une ligne par utilisateur. La forme des lignes est identique pour les deux fichiers.

Le module pam_u2f va chercher dans le fichier u2f_keys ou u2f_mappings les informations nécessaires pour l'authentification. Ces informations sont produites à l'aide de la commande pamu2fcfg. Il suffit de lancer cette commande alors que la clé U2F n'est pas connectée, et de brancher la clé à la demande :

$ pamu2fcfg
No U2F device available, please insert one now, you have 14 seconds
Device found!
XXXX:YYYYY,ZZZZZ

Le XXXX correspond au nom de l'utilisateur. Note : selon les distributions Linux, il peut être nécessaire que l'utilisateur concerné soit dans le groupe usb ou plugdev.

Pour un utilisateur, la ligne produite doit être copiée dans le fichier u2f_keys. Si celui-ci contient déjà une ligne, les informations, après en avoir retiré le nom de l'utilisateur (XXXX ci-dessus), doivent être ajoutée à la ligne courante, séparée par deux points :

XXXX:informations,existantes:nouvelles,informations

Pour une configuration globale, les données produites par pamu2fcfg doivent être copiées dans le fichier u2f_mappings. S'il y a déjà une ligne pour l'utilisateur concerné, il faut ajouter les informations produites à cette ligne, après leur avoir ôté le nom de l'utilisateur, comme pour le fichier u2f_keys.