Як налаштувати YubiKey з обліковим записом macOS

Як налаштувати YubiKey для захисту облікових записів macOS?

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко налаштувати U2F ключ безпеки для роботи з обліковими записами macOS.

Зміст

Сумісні YubiKey

(Вгору)
YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.

Вступ

(Вгору)
Утиліта Yubico PAM дозволяє налаштувати надійну двофакторну автентифікацію на комп’ютерах Mac за допомогою функції HMAC-SHA1 Виклик-Відповідь, яку підтримує YubiKey.

Примітка: При використанні Yubico PAM рекомендується включити повне шифрування диска (FDE) в FileVault. Якщо, шифрування не буде увімкнено, це дасть можливість входу в систему без YubiKey, через режим відновлення.

Встановлення


(Вгору)

  1. Завантажте Yubico PAM.
  2. Запустіть завантажений .pkg файл, щоб розпочати інсталяцію.
  3. Натисніть Continue.
  4. Натисніть Install.
  5. Коли програма інсталяції запитає пароль, введіть пароль або використайте Touch ID для підтвердження інсталяції.
  6. Натисніть Close, щоб вийти з програми інсталяції.

Конфігурація


(Вгору)

Налаштування YubiKey

Для налаштування YubiKey вам знадобиться ПЗ YubiKey Manager.

  1. Відкрийте YubiKey Manager.
  2. Вставте YubiKey у доступний USB-порт вашого Mac.
  3. Натисніть Applications, а після OTP.
  4. Під Long Touch (Slot 2) натисніть Configure.
  5. Оберіть Challenge-response та натисніть Next.
  6. Натисніть Generate, щоб згенерувати новий секретний код.
  7. (Вибірково) Відзначте опцію Require touch, якщо ви хочете включити обов’язковий дотик до кнопки-датчику на YubiKey, для підтвердження операцій Виклик-Відповідь.
  8. Натисніть Finish.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу в macOS. Притьмом рекомендується налаштувати запасний YubiKey для того, щоб мати доступ до Mac у разі, якщо основний YubiKey буде втрачено або зламано.

Прив’язка YubiKey до вашого облікового запису


(Вгору)

  1. Відкрийте Terminal.
  2. Вставте YubiKey в доступний USB-порт вашого Mac.
  3. Виконайте команду: ykpamcfg -2.
    • Якщо ви раніше відзначили опцію Require touch, то коли індикатор YubiKey почне блимати, торкніться кнопки-датчика на ключі.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу до macOS.

Примітка: Якщо ви бачите повідомлення про помилку на кшталт File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, це означає, що використовуваний YubiKey вже прив’язаний до даного облікового запису. Якщо ви налаштовуєте YubiKey з новим запрограмованим секретним кодом Виклик-Відповідь, вам слід видалити вказаний файл перед запуском команди ykpamcfg -2.

Тестування конфігурації

(Вгору)
Перед увімкненням обов’язкової двофакторної автентифікації на Mac слід перевірити працездатність конфігурації. Це можна зробити для початку увімкнувши цю опцію тільки для зберігача екрана; якщо щось піде не так, ви зможете перезавантажити ваш Mac і увійти в систему звичайним способом — за допомогою пароля.

Спочатку переконайтеся, що ваш Mac налаштований запитувати пароль одразу після запуску зберігача екрану.

  1. Відкрийте System Preferences.
  2. Натисніть Security & Privacy.
  3. Натисніть на вкладку General.
  4. Позначте опцію Require password та виберіть immediately.

Тепер Mac може бути налаштований на використання двофакторної автентифікації зберігачем екрана.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/screensaver
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Щоб перевірити конфігурацію, натисніть Command + Ctrl + Q для блокування екрану Mac. Переконайтеся, що YubiKey не під’єднаний до Mac і спробуйте увійти до облікового запису; в нормі має бути так: вхід не відбувається, навіть якщо пароль було введено правильно. Потім увімкніть YubiKey і переконайтеся, що ви можете увійти в систему після введення правильного пароля.

Залучення конфігурації

(Вгору)
Після того, як ви перевірили працездатність конфігурації, дотримуйтесь наведеної нижче покрокової інструкції, щоб увімкнути двофакторну автентифікацію для екрана входу, так само як і для зберігача екрана.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/authorization
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Усунення несправностей

(Вгору)
Якщо після виконання вищевказаних процедур виникнуть неполадки з Yubico PAM, за допомогою наступних кроків ви зможете викликати журнал налагоджування, який допоможе знайти джерело проблеми.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo touch /var/log/pam_yubico.log
  3. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  4. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  5. Виконайте команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/authorization
  6. Спробуйте виконати вхід в систему при підключеному YubiKey.

Ви можете проаналізувати файл журналу /var/log/pam_yubico.log, щоб знайти причину виникнення проблеми. Або зверніться до служби підтримки Yubico та надішліть дані журналу.

Видалення Yubico PAM

(Вгору)
Щоб видалити Yubico PAM, завантажте скрипт, потім виконайте наведені нижче дії.

  1. Відкрийте Terminal.
  2. Виконайте команду: cd ~/Downloads
  3. Виконайте команду: sudo bash uninstall-maclogintool.sh
  4. Після запиту натисніть Enter, щоб підтвердити видалення.

Примітки


(Вгору)

  • Увімкнення Yubico PAM зачіпає всі системні облікові записи на Mac.
  • Якщо функція Touch ID увімкнена, вхід буде виконуватись без участі Yubico PAM. Це пов’язано з особливостями реалізації Touch ID.

Як налаштувати YubiKey з обліковими записами Google

Як налаштувати YubiKey з обліковими записами GoogleЯк налаштувати YubiKey для захисту облікових записів Google? Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу до облікових...

Як налаштувати YubiKey з обліковим записом Dropbox

Як налаштувати YubiKey з обліковим записом DropboxЯк налаштувати YubiKey з обліковим записом Dropbox? Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи...

Як налаштувати YubiKey з обліковим записом Facebook

Як налаштувати YubiKey з обліковим записом FacebookКористуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко...

Як налаштувати YubiKey з обліковим записом GitHub

Як налаштувати YubiKey з обліковим записом GitHubЯк налаштувати YubiKey для захисту облікових записів GitHub? Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи...

Як налаштувати YubiKey з обліковим записом macOS

Як налаштувати YubiKey з обліковим записом macOSЯк налаштувати YubiKey для захисту облікових записів macOS?Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи...

Як налаштувати YubiKey для Windows 10

Як налаштувати YubiKey з обліковим записом Windows 10Як налаштувати YubiKey для захисту облікових записів Windows 10? Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу до...

Новинка вже у магазині
Новинка вже у магазині

bio a hero

YubiKey Bio – FIDO Edition

18749