GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So registrieren und verwenden Sie einen Yubikey mit privacyIDEA

PrivacyIDEA abrufen

Wir verwenden die neueste Version 0.9.1 von privacyIDEA.

Holen Sie sich den privacyidea-Server, entweder über pip oder von github:

$ git-Klon https://github.com/privacyidea/privacyidea.git

Im Hauptverzeichnis können Sie den Server einfach mit dem Paster-Befehl starten:

$ python setup.py build
$ paster serve config/privacyidea.ini.example
Startserver in PID 29608.
serving on 0.0.0.0:5001 view at http://127.0.0.1 :5001

privacyIDEA verwendet eine integrierte Authentifizierung für die administrativen Benutzer. Die Administratorkonten befinden sich in config/admin-users.

Im Git Repo gibt es einen admin (password:test) und einen admin2 (password:secret). Sie sollten diese Datei löschen und einen neuen Administrator erstellen:

$ tools/privacyidea-create-pwidresolver-user -u admin -p yourPassword -i 1000> config/admin-users

Jetzt können Sie sich unter http://localhost:5001 mit dem Benutzer „[email protected]“ und dem Passwort „yourPassword“ bei der Verwaltungsoberfläche anmelden.

Registriere einen Yubikey

Holen Sie sich den privacyidea Admin-Client. Für die Registrierung des Yubikey benötigen Sie die Module pyusb und python-yubico.

$ git-Klon https://github.com/privacyidea/privacyidea.git

Jetzt können Sie den Befehl aufrufen, um den Yubikey zu registrieren. Der Client erstellt einen geheimen Schlüssel, speichert ihn auf dem Yubikey und sendet den geheimen Schlüssel zur Erstellung des neuen Tokens an den Server:

$ ./privacyideaadm -U http://localhost:5001 [email protected] -C yubikey_mass_enroll --yubislot=1
Bitte geben Sie das Passwort für '[email protected]' ein:
Bitte geben Sie den nächsten Yubikey ein.
Yubikey mit Seriennummer '00508326' gefunden

{ u'status':True, u'value':True}

Bitte fügen Sie den nächsten Yubikey ein.^C

In der Webverwaltung sehen Sie nun einen Token mit der Seriennummer UBOM..., was "Yubikey, Oath Mode" bedeutet. Durch Drücken der Yubikey-Taste wird ein 6-stelliger OTP-Wert ausgegeben. Versuch es!

Wo sind meine Benutzer?

Richten Sie Ihren Browser auf die privacyIDEA-Verwaltung http://localhost:5001. Sie sehen ein Anmeldeformular. Dieses Login wird von normalen Benutzern verwendet, um auf das Self-Service-Portal zuzugreifen, aber auch von Administratoren, um auf die Token-Verwaltungsschnittstelle zuzugreifen.

Melden Sie sich mit dem von Ihnen erstellten Administratorkonto an. Denken Sie daran, einen @admin hinzuzufügen. Wenn Sie also einen verwendet Superruth erstellt haben, sollten Sie sich als [email protected]

anmelden

Jetzt erstellen Sie Ihren ersten Resolver, der eigentlich eine Art Zeiger auf den Ort ist, an dem sich Ihre Benutzer befinden.

Gehen Sie zu privacyIDEA Config -> useridresolvers wählen Sie „new“ und erstellen Sie einen „flat file“ Resolber aus Ihrem /etc/passwd

Jetzt setzen Sie den Resolver in einen Realm. Gehen Sie zu privacyIDEA config -> realms, erstellen Sie einen neuen Realm, geben Sie einen Realmnamen ein und wählen Sie den soeben erstellten Resolver aus.

Die Benutzer sehen Sie im Tab "Benutzeransicht".

Wählen Sie den Benutzer und das Token aus. Klicken Sie auf der linken Seite auf die Schaltfläche "Zuweisen". Der Token gehört jetzt dem Benutzer, Sie können eine zusätzliche PIN eingeben, z. B. "test".

Schauen Sie es sich an!

Da das Token nun dem Benutzer gehört, kann sich der Benutzer nun mit diesem Token authentifizieren.

Setzen Sie den Yubikey wieder ein.

Wir werden die Web-API verwenden, um die Authentifizierung zu testen. In Ihrem Browser können Sie Folgendes aufrufen:

http://localhost:5001/validate/check?user=bin&pass=test......

was Ihnen das folgende Ergebnis liefert:

{

    "version": "privacyIDEA 0.9",
    "jsonrpc": "2.0",
    "result": {
        "status": true,
        "value": true
    },
    "id": 0

}

"value":"true" bedeutet, dass die Authentifizierung erfolgreich war.

Als Fork von LinOTP verwendet privacyIDEA ab sofort dieselbe API mit derselben Antwort wie LinOTP. D.h. Sie können Authentifizierungsmodule/Plugins verwenden, die auch für LinOTP verwendet werden können.

Wenn alles schief geht, sollten Sie einen Blick auf den Audit-Tab werfen.

Produktion

Für den produktiven Einsatz sollten Sie anstelle des Pasters eine Datenbank wie MySQL oder PostgreSQL und den Apache- oder Nginx-Webserver verwenden. Dies wird Teil eines nächsten Howtos sein.


Linux

  1. So verwenden Sie die Befehle „cat“ und „tac“ mit Beispielen in Linux

  2. Verwendung von Pipes und Named Pipes unter Linux (mit Beispielen)

  3. Wie verwende ich die Ausgabeumleitung in Kombination mit Here-Dokumenten und Cat?

  4. Befehl Grep und Locate verwenden?

  5. Wie kann ich Platzhalter im ms-dos-Stil mit ls und mv verwenden?

Wie man mit privacyIDEA eine Zwei-Faktor-Authentifizierung zu OTRS hinzufügt

So richten Sie Ihre OTP-Appliance mit privacyIDEA ein

So installieren und verwenden Sie Alpine mit Gmail IMAP unter Linux

So installieren und verwenden Sie den Ack-Befehl unter Linux mit Beispielen

Verwenden Sie Ihren Chromecast von Linux und MacOS mit mkchromecast

Installieren und verwenden Sie Docker Compose mit Docker unter Ubuntu 22.04