Este é o comando ykpamcfg que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas múltiplas estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online de Windows ou emulador online de MAC OS.
PROGRAMA:
NOME
ykpamcfg – Gerenciar configurações de usuário para o módulo Yubico PAM
SINOPSE
ykmapcfg [-1 | -2] [-A] [-p] [-i] [-v] [-V] [-h]
OPÇÕES
-1
use o slot 1. Este é o padrão.
-2
use o slot 2.
-A açao
escolha a ação a ser executada. Veja AÇÕES abaixo.
-p caminho
especifique o arquivo de saída para, o padrão é ~/.yubico/desafio
-i iterações
número de iterações a serem usadas para pbkdf2 da resposta esperada
-v
habilite o modo detalhado.
-V
exibir versão e sair
-h
exibir ajuda e sair
AÇÕES
add_hmac_chalresp
O módulo PAM pode utilizar o modo Desafio-Resposta HMAC-SHA1 encontrado em YubiKeys
começando com a versão 2.2 para modo offline autenticação. Esta ação cria o inicial
informar informações com o C/R a ser emitido no próximo logon.
O utilitário atualmente envia as informações de estado para um arquivo na casa do usuário atual
diretório (~/.yubico/challenge-123456 para um YubiKey com leitura de API de número de série
habilitado, e ~/.yubico/desafio para um sem).
O módulo PAM suporta um diretório de todo o sistema para esses arquivos de estado (caso o usuário
diretórios iniciais são criptografados), mas em um diretório de todo o sistema, o desafiar parte deveria
ser substituído pelo nome de usuário. Exemplo : /var/yubico/desafios/alice-123456.
Para usar o modo de todo o sistema, atualmente você precisa mover os arquivos de estado gerados manualmente
e configure o módulo PAM adequadamente.
EXEMPLOS
Primeiro, programe uma YubiKey para resposta ao desafio no Slot 2:
$ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
...
Comprometer-se? (y / n) [n]: y
Agora, defina o usuário atual para exigir este YubiKey para logon:
$ ykpamcfg -2 -v
...
Desafio inicial armazenado e resposta esperada em '/home/alice/.yubico/challenge-123456'.
Em seguida, configure a autenticação com PAM, por exemplo, assim (fazer a backup primeiro):
/etc/pam.d/common-auth (do Ubuntu 10.10):
autenticação necessária pam_unix.so nullok_secure try_first_pass
auth [sucesso=1 new_authtok_reqd=ok ignorar=ignorar padrão=morrer] pam_yubico.so mode=challenge-response
requisito de autenticação pam_deny.so
autenticação necessária pam_permit.so
autenticação opcional pam_ecryptfs.so desembrulhar
Use ykpamcfg online usando serviços onworks.net
