+971 4 7017 260 info@yubikey.me

Як налаштувати YubiKey з обліковим записом macOS

Як налаштувати YubiKey для захисту облікових записів macOS?

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих поетапних інструкцій щоб з легкістю налаштувати U2F ключ безпеки для роботи з обліковими записами macOS.

Зміст

Сумісні YubiKey

(Вгору)

YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.

Вступ

(Вгору)

Утиліта Yubico PAM дозволяє налаштувати надійну двофакторну автентифікацію на комп’ютерах Mac за допомогою функції HMAC-SHA1 Виклик-Відповідь, яку підтримує YubiKey.

Примітка: При використанні Yubico PAM рекомендується ввімкнути повне шифрування диска (FDE) в FileVault. Якщо, шифрування не буде ввімкнено, це дасть можливість входу в систему без YubiKey, через режим відновлення.

Завантаження

(Вгору)

  1. Завантажте Yubico PAM.
  2. Запустіть завантажений .pkg файл, щоб почати установку.
  3. Натисніть Continue.
  4. Натисніть Install.
  5. Коли програма завантаження запитає пароль, введіть пароль або використайте Touch ID, для підтвердження завантаження.
  6. Натисніть Close для виходу з програми завантаження.

Кофігурація

(Вгору)

Налаштування YubiKey

Для налаштування YubiKey, вам знадобиться ПО YubiKey Manager.

  1. Відкрийте YubiKey Manager.
  2. Вставте YubiKey в доступний USB-порт вашого Mac.
  3. Натисніть Applications, а після OTP.
  4. Під Long Touch (Slot 2), натисніть Configure.
  5. Оберіть Challenge-response та натисніть Next.
  6. Натисніть Generate, щоб згенерувати новий секретний код.
  7. (Вибірково) Відзначте опцію Require touch, якщо ви хочете ввімкнути обов’язковий дотик до кнопки-датчику на YubiKey, для підтвердження операцій Виклик-Відповідь.
  8. Натисніть Finish.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу в macOS. Настійно рекомендується налаштувати запасний YubiKey, для того, щоб мати доступ до Mac, в разі, якщо основний YubiKey буде загублений або зламаний.

Прив’язка YubiKey до вашого облікового запису

(Вгору)

  1. Відкрийте Terminal.
  2. Вставте YubiKey в доступний USB-порт вашого Mac.
  3. Виконайте команду: ykpamcfg -2
    • Якщо ви раніше відзначили опцію Require touch, коли індикатор на YubiKey почне блимати, доторкніться до кнопки-датчику на ключі.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу в macOS.

Примітка: Якщо ви бачите повідомлення про помилку на зразок File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, це означає, що використовуваний YubiKey вже прив’язаний до даного облікового запису. Якщо ви налаштовуєте YubiKey з новим запрограмованим секретним кодом Виклик-Відповідь, вам слід видалити вказаний файл перед запуском команди ykpamcfg -2.

Тестування конфігурації

(Вгору)

Перед включенням обов’язкової двофакторної автентифікації на Mac, слід перевірити працездатність конфігурації. Це можна зробити для початку ввімкнувши цю опцію тільки для початкового екрану; якщо що-небудь піде не так, ви зможете перезавантажити ваш Mac, і увійти в систему звичайним способом – за допомогою пароля.

Для початку, переконайтеся, що ваш Mac налаштований запитувати пароль відразу після запуску екрану.

  1. Відкрийте System Preferences.
  2. Натисніть Security & Privacy.
  3. Натисніть на вкладку General.
  4. Відзначте опцію Require password, та оберіть immediately.

Тепер Mac може бути налаштований на використання двофакторної автентифікації початковим екраном.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/screensaver
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Щоб перевірити конфігурацію, натисніть Command + Ctrl + Q для блокування екрану Mac. Переконайтеся, що YubiKey не підключений до Mac і спробуйте увійти в обліковий запис; у вас не повинно вийти увійти, навіть якщо пароль був введений правильно. Потім, підключіть YubiKey і переконайтеся, що вам вдається увійти в систему після введення правильного пароля.

Залучення конфігурації

(Вгору)

Після того, як ви перевірили працездатність конфігурації, дотримуйтесь наведеної нижче покрокової інструкції, для включення двофакторної автентифікації для екрану входу, так само, як і для початкового екрану.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/authorization
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Усунення несправностей

(Вгору)

Якщо після виконання вищевказаних процедур виникнуть неполадки з Yubico PAM, за допомогою наступних кроків ви зможете викликати журнал налагоджування, який допоможе знайти джерело проблеми.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo touch /var/log/pam_yubico.log
  3. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  4. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  5. Виконайте команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/authorization
  6. Спробуйте виконати вхід в систему при підключеному YubiKey.

Ви можете проаналізувати файл журналу /var/log/pam_yubico.log, щоб знайти причину виникнення проблеми. Або зверніться в службу підтримки Yubico, і надішліть дані журналу.

Видалення Yubico PAM

(Вгору)

Щоб видалити Yubico PAM, завантажте скрипт, потім виконайте наведені нижче дії.

  1. Відкрийте Terminal.
  2. Виконайте команду: cd ~/Downloads
  3. Виконайте команду: sudo bash uninstall-maclogintool.sh
  4. Після запиту, натисніть Enter, щоб підтвердити видалення.

Примітки

(Вгору)

  • Включення Yubico PAM зачіпає всі системні облікові записи на Mac.
  • Якщо функція Touch ID ввімкнена, вхід буде виконуватися без участі Yubico PAM. Це пов’язано з особливостями реалізації Touch ID.
0/5 (0 Reviews)