Redian新闻
>
为集中管理的用户提供 FIDO2 认证 | Linux 中国

为集中管理的用户提供 FIDO2 认证 | Linux 中国

科技
 
导读:Fedora 39 通过 SSSD 和 FreeIPA 为集中管理的用户开启了 FIDO2 认证功能。此篇文章将指导你如何进行配置和启用该功能。
本文字数:2824,阅读时长大约:4分钟

https://linux.cn/article-16406-1.html
作者:Iker Pedrosa
译者:ChatGPT

Fedora 39 通过 SSSD 和 FreeIPA 为集中管理的用户开启了 FIDO2 认证功能。此篇文章将指导你如何进行配置和启用该功能。

FIDO2

FIDO2fidoalliance.org 是以 公钥加密en.wikipedia.org 为基础的开放式认证标准,比起密码和一次性密码(OTP),它的安全性更高且易用性更强。它通常以类似小型 USB 和基于 NFC 的硬件安全令牌的方式提供。有几种符合 FIDO 认可的密钥品牌,例如:YubiKey、NitroKey、SoloKey v2 等等。

此协议的优势包括:

◈ 通过使用公钥加密来消除密码,从而实现无密码认证。
◈ 采用 多因素认证en.wikipedia.org(MFA)以实现强力认证。
◈ 减少了应用程序之间密码或公钥的重复使用,降低数据泄露的风险。
◈ 私钥位于安全令牌中并且永不离开,这大大减少了被网络钓鱼的威胁。

前面的文章

在 Fedora 杂志中,有多篇文章阐述了如 FIDO2 的应用场景:《如何使用 FIDO2 验证本地用户fedoramagazine.org》 和 《如何解锁硬盘fedoramagazine.org》。而此篇文章介绍了如何使用 FIDO2 验证远程用户。请注意,上述所说的设备,主要是指那些来自 Yubico 采用了其他协议的设备,而此篇指南的目的并非讨论这些协议。

集中管理的用户

SSSDsssd.io 和 FreeIPAfreeipa.readthedocs.io 最近新增了一个名为 通行密钥fedoraproject.org(passkey) 的特性,以便对集中管理的用户执行 FIDO2 认证。此功能目前只在 SSSD 2.9.0sssd.io 和 FreeIPA 4.11.0www.freeipa.org 等版本中支持。

Fedora 39 已经包含了这些版本,因此,它是第一个为集中管理的用户启用 FIDO2 认证的发行版。此外,用户在认证成功后,也会一并获取一个 Kerberos 票据,实现对其他服务的身份证明。

请注意,从这里开始,我将交替使用 FIDO2 和通行密钥这两个术语。

FIDO2 认证

FIDO2 配置

作为额外的安全措施,应在设备中启用 MFA 以防你丢失了密钥,恶意行为者无法使用它进行认证。

列出连接的通行密钥设备:

  1. $ fido2-token -L

为你的通行密钥设备设置 PIN(将大写字母替换为所需的):

  1. $ fido2-token -C /dev/hidrawX

如果你有一个兼容的设备,你还可以启用其他认证因素,例如指纹。

集中用户配置

首先,我们来创建一个用户,并将通行密钥(passkey)设置为其认证方式(请根据需要将大写字母替换为相应的):

  1. $ ipa user-add USERNAME --first NAME --last SURNAME --user-auth-type=passkey

或者,如果你已有一个用户,并只需要将 passkey 设置为其认证方式:

  1. $ ipa user-mod USERNAME --user-auth-type=passkey

集中管理用户的 FIDO2 注册

接下来,我们为该用户注册这个通行密钥。这个步骤会提示你输入 PIN 码,随后触摸设备:

  1. $ ipa user-add-passkey USERNAME --register
  2. Enter PIN:
  3. Please touch the device.
  4. ------------------------------------
  5. Added passkey mappings to user "USERNAME"
  6. ------------------------------------
  7. User login: USERNAME
  8. Passkey mapping: passkey:XR/MXigmgiBz1z7/RlWoWZkXKIEf1x9Ux5uPNxtzzSTdTiF407u2nRYMPkK8pWjwUR8Aa2urCcC9cnpLbkKgFg==,MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEZqgERsFFv4Yev1dyo2Ap4PvLirg3P3Uhig5mNA4qf061C9q5rg0nMDz9AOYxZmBrwvQEXHCasMNO9VAIVnBIVg==

此刻,用户的认证已准备就绪。

注意,如果你想在生产环境中使用此用户,我建议你至少注册两个不同的设备。这样,即使你丢失了其中一个设备,你也可以用另一个进行认证。

集中管理的用户的 FIDO2 认证

在初次尝试中,只有在物理连接令牌的系统中才能进行认证。这意味着你可以使用 su 或图形界面,但不能远程使用 ssh。

我们来试试使用 su,记得将大写字母替换为所需的。当要求你输入 PIN,然后触摸设备时,当设备灯闪烁时触摸它:

  1. $ su - USERNAME@DOMAIN
  2. Insert your passkey device, then press ENTER.
  3. Enter PIN:

如果一切进行顺利,Kerberos 票据也应已被授予,然后你就可以向其他服务进行远程认证:

  1. $ klist
  2. Ticket cache: KCM:879400005:34862
  3. Default principal: USERNAME@DOMAIN
  4. Valid starting Expires Service principal
  5. 10/20/23 09:46:04 10/21/23 09:32:37 krbtgt/DOMAIN@DOMAIN

结论

此认证机制的目标是提升安全性。通过使用一种众所周知、开放式的标准实现无密码和多因素认证,从而降低数据泄露和网络钓鱼威胁的风险。用户只需要一个硬件令牌及另外一个如 PIN 或者指纹的认证方式,从而消除对密码的需求,同时提供了方便的多因素认证方法。更进一步,每个应用或服务都使用一个唯一的密钥,这样任何一个应用或服务的数据泄露都不会影响其他的。最后,用户并不需要知道他们的凭据的具体细节,只需了解他们使用了一个实体令牌,这极大地降低了社交工程攻击的可能性。

(题图:MJ/838d5392-79b4-4c22-ab0f-c2ada4bf2833)


via: https://fedoramagazine.org/fido2-for-centrally-managed-users/

作者:Iker Pedrosa 选题:lujun9972 译者:ChatGPT 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

欢迎遵照 CC-BY-SA 协议规定转载,
如需转载,请在文章下留言 “转载:公众号名称”,
我们将为您添加白名单,授权“转载文章时可以修改”。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
如何将 Silverblue 重定位到 Fedora Linux 39 | Linux 中国备受欢迎的数字音频工作站 Studio One 新增了对 Linux 的支持 | Linux 中国Linux 游戏的下一个秘密武器:Bottles Next | Linux 中国2023年11月7日起中国可以海牙认证了,再也不用双认证三级认证了!【附实战经验】硬核观察 #1208 LVFS 已为 Linux 用户提供超过 1 亿次固件更新Linux Mint 21.2 Edge:为更新的硬件提供支持 | Linux 中国《星级男人通鉴》第30章 臭不要脸在 Arch Linux 上安装 Docker | Linux 中国任务中心:一款流畅的 Linux 系统监控应用 | Linux 中国使用 Btrfs 快照方便升级 Fedora Linux 且易于回退 | Linux 中国如何制作一个 Linux Mint 立付 USB | Linux 中国为每个用户提供专属定制服务,OPPO 安第斯大模型的新卷法Linux 用户也将被蓝屏死机的恐怖所支配! | Linux 中国修复 Arch Linux 中的 “Bash: man command not found” 错误 | Linux 中国《又见洛阳》二三作者评述在 Arch Linux 上安装 Brave | Linux 中国Gentoo Linux 现在提供用于快速软件安装的二进制包 | Linux 中国首款 Linux 游戏本?!Tuxedo 推出 Linux 游戏本 Sirius 16这些剪贴板管理器使得 Linux 下的复制粘贴更上一层楼 | Linux 中国在 Fedora Linux 上值得尝试的酷炫 Flatpak 应用(11 月) | Linux 中国NASA 7年天上挖,半斤尘土带回家Linux 中的 ls 命令使用教程 | Linux 中国幽林秋正酣Linux 用户必备的 8 大网站 | Linux 中国又一波秋季时令蔬果来了- 油焖茭白,烧烤栗子,韭菜饺子在 Arch Linux 上安装和使用 Yay | Linux 中国在 Fedora Linux 上值得尝试的酷炫 Flatpak 应用(12 月) | Linux 中国10 月份在 Fedora Linux 上值得尝试的酷炫 Flatpak应用 | Linux 中国Linux 内核动手编译实用指南 | Linux 中国Bazzite:专为 Steam Deck 和 PC 上的 Linux 游戏打造的发行版 | Linux 中国Wolfi:改进云软件供应链的 Linux “非”发行版 | Linux 中国一款外观时尚的用于管理个人财务的 Linux 应用 | Linux 中国Vojtux:针对视力障碍用户改造 Linux | Linux 中国Linus Torvalds:Linux 内核中的 Rust、AI 和疲劳的维护者 | Linux 中国Linux 黑话解释:Linux 中的 Super 键是什么? | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。