זוהי הפקודה ykpamcfg שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו בחינם כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ykpamcfg - נהל הגדרות משתמש עבור מודול Yubico PAM
תַקצִיר
ykmapcfg [-1 | -2] [-A] [-p] [-i] [-v] [-V] [-h]
אפשרויות
-1
השתמש בחריץ 1. זוהי ברירת המחדל.
-2
השתמש בחריץ 2.
-A פעולה
לבחור פעולה לביצוע. ראה פעולות למטה.
-p נתיב
ציין קובץ פלט עבור, ברירת המחדל היא ~/.yubico/challenge
-i איטרציות
מספר האיטרציות לשימוש עבור pbkdf2 של התגובה הצפויה
-v
אפשר מצב מילולי.
-V
להציג גרסה ויציאה
-h
הצג עזרה וצא
פעולות
add_hmac_chalresp
מודול PAM יכול להשתמש במצב HMAC-SHA1 Challenge-Response שנמצא ב- YubiKeys
החל מגרסה 2.2 עבור לא מחובר אימות. פעולה זו יוצרת את ההתחלה
ציין מידע עם ה-C/R שיונפק בכניסה הבאה.
כלי השירות מוציא כעת את מידע המצב לקובץ בבית המשתמש הנוכחי
ספרייה (~/.yubico/challenge-123456 עבור YubiKey עם קריאת API של מספר סידורי
מופעלת, ו ~/.yubico/challenge לאחד בלי).
מודול PAM תומך בספרייה רחבה של המערכת עבור קבצי מצב אלה (במקרה של המשתמש
ספריות ביתיות מוצפנות), אבל בספריה רחבה של המערכת, ה לאתגר חלק צריך
יוחלף בשם המשתמש. דוגמא : /var/yubico/challenges/alice-123456.
כדי להשתמש במצב כלל המערכת, כעת עליך להעביר את קבצי המצב שנוצרו באופן ידני
ולהגדיר את מודול PAM בהתאם.
דוגמאות
ראשית, תכנת YubiKey לתגובה לאתגר במשבצת 2:
$ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
...
לְבַצֵעַ? (י/נ) [n]: י
כעת, הגדר את המשתמש הנוכחי לדרוש את YubiKey הזה לכניסה:
$ ykpamcfg -2 -v
...
אתגר ראשוני מאוחסן ותגובה צפויה ב-'/home/alice/.yubico/challenge-123456'.
לאחר מכן, הגדר אימות עם PAM למשל כך (לעשות a גיבוי ראשון):
/etc/pam.d/common-auth (מתוך אובונטו 10.10):
אישור נדרש pam_unix.so nullok_secure try_first_pass
auth [success=1 new_authtok_reqd=OK ignore=ignore default=die] pam_yubico.so mode=challenge-response
אישור נדרש pam_deny.so
אישור נדרש pam_permit.so
אישור אופציונלי pam_ecryptfs.so unwrap
השתמש ב-ykpamcfg באינטרנט באמצעות שירותי onworks.net
