Как настроить YubiKey с учетной записью macOS

Как настроить YubiKey в macOS

Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные записи безопасной. Следуйте этим пошаговым инструкциям чтобы с легкостью настроить YubiKey для работы с учетными записями macOS.

Содержание

 

Совместимые YubiKey

(Вверх)

YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.

 

Вступление

(Вверх)

Утилита Yubico PAM позволяет настроить надежную двухфакторную аутентификацию на компьютерах Mac при помощи функции HMAC-SHA1 Вызов-Ответ, поддерживаемой YubiKey.

Примечание: При использовании Yubico PAM настоятельно рекомендуется включить полное шифрование диска (FDE) в FileVault. Если шифрование не будет включено, это даст возможность входа в систему без YubiKey, через режим восстановления.

 

Установка

(Вверх)

  1. Загрузите Yubico PAM.
  2. Запустите загруженный .pkg файл, чтобы начать установку.
  3. Нажмите Continue.
  4. Нажмите Install.
  5. Когда программа установки запросит пароль, введите пароль или используйте Touch ID, для подтверждения установки.
  6. Нажмите Close для выхода из программы установки.

 

Конфигурация

(Вверх)

Настройка YubiKey

 

Для настройки YubiKey, вам понадобится ПО YubiKey Manager.

  1. Откройте YubiKey Manager.
  2. Вставьте YubiKey в доступный USB-порт вашего Mac.
  3. Нажмите Applications, затем OTP.
  4. Под Long Touch (Slot 2), нажмите Configure.
  5. Выберите Challenge-response и нажмите Next.
  6. Нажмите Generate, чтобы сгенерировать новый секрет.
  7. (Выборочно) Отметьте опцию Require touch, если вы хотите включить обязательное касание к кнопке-датчику на YubiKey, для подтверждения операций Вызов-Ответ.
  8. Нажмите Finish.

Повторите данные шаги для каждого YubiKey, который вы хотите использовать для входа в macOS. Настоятельно рекомендуется настроить запасной YubiKey, для того, чтобы иметь доступ к Mac, в случае, если основной YubiKey будет утерян или сломан.

 

Привязка YubiKey к вашей учётной записи

(Вверх)

  1. Откройте Terminal.
  2. Вставьте YubiKey в доступный USB-порт вашего Mac.
  3. Выполните команду: ykpamcfg -2
    • Если вы ранее отметили опцию Require touch, когда индикатор на YubiKey начнет мигать, прикоснитесь к кнопке-датчику на ключе.

Повторите данные шаги для каждого YubiKey, который вы хотите использовать для входа в macOS.

Примечание: Если вы видите сообщение об ошибке наподобие File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, это значит, что используемый YubiKey уже привязан к данной учётной записи. Если вы настраиваете YubiKey с новым запрограммированным секретом Вызов-Ответ, вам следует удалить указанный файл перед запуском команды ykpamcfg -2.

 

Тестирование конфигурации

(Вверх)

Перед включением обязательной двухфакторной аутентификации на Mac, следует проверить работоспособность конфигурации. Это можно сделать для начала включив данную опцию только для хранителя экрана; если что-нибудь пойдёт не так, вы сможете перезагрузить ваш Mac, и войти в систему обычным способом — при помощи пароля.

Для начала, убедитесь, что ваш Mac настроен запрашивать пароль сразу после запуска хранителя экрана.

  1. Откройте System Preferences.
  2. Нажмите Security & Privacy.
  3. Нажмите на вкладку General.
  4. Отметьте опцию Require password, и выберите immediately.

Теперь Mac может быть настроен на использование двухфакторной аутентификации хранителем экрана.

  1. Откройте Terminal.
  2. Выполните команду: sudo nano /etc/pam.d/screensaver
  3. После запроса на ввод пароля, введите ваш пароль и нажмите Enter.
  4. Под строкой account required pam_opendirectory.so добавьте следующую строку:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Нажмите Ctrl+X, Y, затем нажмите Enter, чтобы сохранить файл.

Чтобы проверить конфигурацию, нажмите Command+Ctrl+Q для блокировки экрана Mac. Убедитесь, что YubiKey не подключен к Mac и попытайтесь войти в учётную запись; у вас не должно получиться войти, даже если пароль был введён правильно. Затем, подключите YubiKey и убедитесь, что вам удаётся войти в систему после ввода правильного пароля.

 

Задействование конфигурации

(Вверх)

После того, как вы проверили работоспособность конфигурации, следуйте приведенной ниже пошаговой инструкции, для включения двухфакторной аутентификации для экрана входа, так же, как и для хранителя экрана.

  1. Откройте Terminal.
  2. Выполните команду: sudo nano /etc/pam.d/authorization
  3. После запроса на ввод пароля, введите ваш пароль и нажмите Enter.
  4. Под строкой account required pam_opendirectory.so добавьте следующую строку:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Нажмите Ctrl+X, Y, затем нажмите Enter, чтобы сохранить файл.

 

Устранение неполадок

(Вверх)

Если после выполнения вышеуказанных процедур возникнут неполадки с Yubico PAM, с помощью следующих шагов вы сможете включить отладочное журналирование, которое поможет найти источник проблемы.

  1. Откройте Terminal.
  2. Выполните команду: sudo touch /var/log/pam_yubico.log
  3. Выполните команду: sudo chmod 766 /var/log/pam_yubico.log
  4. Выполните команду: sudo sed -i «.yubibak» -E «s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/» /etc/pam.d/screensaver
  5. Выполните команду: sudo sed -i «.yubibak» -E «s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/» /etc/pam.d/authorization
  6. Попробуйте выполнить вход в систему при подключенном YubiKey.

Вы можете изучить файл журнала /var/log/pam_yubico.log, чтобы найти причину возникновения неполадки. Или обратитесь в службу поддержки Yubico, и отправьте данные журнала.

 

Удаление Yubico PAM

(Вверх)

Чтобы удалить Yubico PAM, скачайте скрипт, затем выполните приведённые ниже действия.

  1. Откройте Terminal.
  2. Выполните команду: cd ~/Downloads
  3. Выполните команду: sudo bash uninstall-maclogintool.sh
  4. После запроса, нажмите Enter, для подтверждения удаления.

 

Примечания

(Вверх)

  • Включение Yubico PAM затрагивает все системные учетные записи на Mac.
  • Если функция Touch ID включена, вход будет выполняться в без участия Yubico PAM. Это связано с особенностями реализации Touch ID.

Будем рады услышать Вас

10 + 3 =