Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Login mit Yubikey, Bitte Hilfe PAM

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1280
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Login mit Yubikey, Bitte Hilfe PAM

Beitrag von /dev/null » 16. Nov 2018, 10:06

Hallo Freunde!

Ich habe (auf meinen jetzt nur noch privaten) Rechnern das Einloggen so konfiguriert, dass ich dafür meinen Yubikey nutzen kann.
Dazu habe ich in /etc/pam.d/common-auth-pc als vorletzte Zeile die folgende Zeile eingefügt:

Code: Alles auswählen

auth    sufficient    pam_yubico.so    mode=challenge-response
Selbstverständlich vorher noch die benötigten Bibliotheken für den Yubikey installiert und den Stick dem System bekannt gemacht.
Das ganze funktionierte ab dem ersten Start perfekt. Sowohl beim Einloggen als auch beim "su -" auf der Konsole. An Stelle des PW den Sensor des Yubikey berühren und fertig. (Letztendlich spart mir das nur das Einhacken meiner langen PW, nur auf meinem Notebook mit der verschlüsselten SSD ist das auch wirklich ein Gewinn an Sicherheit. <= Bevor jemand damit kommt ...)

So nun mein Problem bzw. meine Bitte um Unterstützung:
Das Anmelden funktioniert wie o.g. perfekt. Aber es funktioniert nicht mehr nach einer Sperrung des Bildschirmes.

Kennt sich da jemand aus, wie ich dieses "Problem" auch noch lösen kann?

MfG Peter
openSuSE Tumbleweed, Kernel 4.19.x.-desktop x86_64, KDE, Thunderbird 60.3.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Werbung:
Gräfin Klara
Hacker
Hacker
Beiträge: 335
Registriert: 23. Jun 2008, 20:51

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von Gräfin Klara » 16. Nov 2018, 14:21

/dev/null hat geschrieben:
16. Nov 2018, 10:06
Aber es funktioniert nicht mehr nach einer Sperrung des Bildschirmes.
..
Bietet diese Sperre einen Userwechsel an?
Wenn ja, wechsle den user auf denselben und probiere das Entsperren dann mit Yubikey
Nur ein Test, um zu erfahren was da los ist

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1083
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von marce » 16. Nov 2018, 14:37

Alternativ mal prüfen, ob z.B. in einem Editor die Passwort wiedergegeben wird wenn man den YK drückt.

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1280
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von /dev/null » 16. Nov 2018, 18:52

Ich danke euch beiden fürs Mitdenken und eure Tipps.
Gräfin Klara hat geschrieben:
16. Nov 2018, 14:21
Bietet diese Sperre einen Userwechsel an?
Treffer!
Wenn ich den tatsächlich möglichen Benutzerwechsel mache und mich dann wieder aufs selbe (das meinige) Konto anmelde, dann funktioniert es genau so, wie bei der Erstanmeldung.
marce hat geschrieben:
16. Nov 2018, 14:37
Alternativ mal prüfen, ob z.B. in einem Editor die Passwort wiedergegeben wird wenn man den YK drückt.
Klar wird im Editor ein (immer wieder neues) PW angezeigt. Es ist das PW, welches - Slot 1 - durch "Hochzählen" generiert wird. Genau dieses kommt auch bei der versuchten Anmeldung bei gesperrtem Bildschirm. Nur dieses nutzt mir nichts, weil ich eben den Slot 2 mit der Methode "challenge-response" nutze. Bei den beiden OTP-Methoden (Hochzählen und Zeitgesteuert) muss der Rechner online sein und ich brauche einen Server, welcher die von mir gesendeten PW akzeptieren muss. Aber ich bzw. mein Client ist noch offline und ich möchte auch keinen fremden Server nutzen.

Letztendlich suche ich den Unterschied zwischen einer ganz normalen Anmeldung (common-auth) und der Anmeldung "an ein bereits angemeldetes und nur gesperrtes Konto". Oder mit anderen Worten: bei der normalen Anmeldung wird eine "Challenge" gesendet und ein Response angefordert. Bei der zweiten Form der Anmeldung agiert nur der YK und sendet sein nächstes Zufallspasswort.
BTW: Ich habe ganz bewusst auf Hinweise zum Hashen und zum Verschlüsseln der PW bzw. der Response verzichtet. Ist ja hier für die Funktion auch nicht unbedingt erforderlich. Der User hat auch keinen Einfluss darauf. Es funktioniert eben ... .


MfG Peter
openSuSE Tumbleweed, Kernel 4.19.x.-desktop x86_64, KDE, Thunderbird 60.3.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de


Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1280
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von /dev/null » 16. Nov 2018, 20:58

Auch dir meinen Dank.
Beim ersten Überfliegen habe ich allerdings noch keine Antwort auf meine Fragen gefunden. Ich werde mich die nächsten Tage intensiv mit diesem Text befassen, und suchen, ob da etwas steht was in der Originaldokumentation des Herstellers nicht zu finden ist.
Kommt Zeit kommt Rat.

MfG Peter
openSuSE Tumbleweed, Kernel 4.19.x.-desktop x86_64, KDE, Thunderbird 60.3.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Gräfin Klara
Hacker
Hacker
Beiträge: 335
Registriert: 23. Jun 2008, 20:51

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von Gräfin Klara » 17. Nov 2018, 13:02

/dev/null hat geschrieben:
16. Nov 2018, 18:52
Ich danke euch beiden fürs Mitdenken und eure Tipps.
Gräfin Klara hat geschrieben:
16. Nov 2018, 14:21
Bietet diese Sperre einen Userwechsel an?
Treffer!
Wenn ich den tatsächlich möglichen Benutzerwechsel mache und mich dann wieder aufs selbe (das meinige) Konto anmelde, dann funktioniert es genau so, wie bei der Erstanmeldung.
...
Ok.
Folgendes könnte sein:
a. Nicht im Fokus.
Yubikey arbeitet als HID, also wie ein keyboard.... aber das weißt du sowieso.
Setze zum Testen mit mouse oder keyboard das entprechende Eingabefeld in den Fokus und probiere dann mit Yubikey.

b. Funktioniert das nicht, dann kannst du das Problem über udev lösen. (Ähnliche Regeln wie keyboard)
Dann kann KDE, oder was auch immer, damit richtig umgehen UND (so nur meine Meinung) sollte beim Ziehen des Yubikey sowieso automatisch die session gesperrt werden.
Ich glaube, dass ich mit diesem Problem (andere security devices) schon einmal ein Rendezvous hatte.

Gruß
Gräfin Klara

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1280
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Re: Login mit Yubikey, Bitte Hilfe PAM

Beitrag von /dev/null » 17. Nov 2018, 19:11

Danke.

Fokus:
Der YK ist schon im Fokus. Nur, er sendet aus dem Slot 1 das "hochgezählte" PW und es erfolgt kein Challenge-Respond (=> Slot 2).
Mit dem zweitenHinweis (udev) konnte ich mich noch nicht beschäftigen. Und ich konnte auch sonst noch nichts weiter unternehmen.

MfG Peter
openSuSE Tumbleweed, Kernel 4.19.x.-desktop x86_64, KDE, Thunderbird 60.3.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Antworten