Як налаштувати YubiKey з обліковим записом macOS
Як налаштувати YubiKey для захисту облікових записів macOS?
Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко налаштувати U2F ключ безпеки для роботи з обліковими записами macOS.
Зміст
- Сумісні YubiKey
- Вступ
- Встановлення
- Конфігурація
- Усунення несправностей
- Видалення Yubico PAM
- Примітки
Сумісні YubiKey
(Вгору)
YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.
Вступ
(Вгору)
Утиліта Yubico PAM дозволяє налаштувати надійну двофакторну автентифікацію на комп’ютерах Mac за допомогою функції HMAC-SHA1 Виклик-Відповідь, яку підтримує YubiKey.
Примітка: При використанні Yubico PAM рекомендується включити повне шифрування диска (FDE) в FileVault. Якщо, шифрування не буде увімкнено, це дасть можливість входу в систему без YubiKey, через режим відновлення.
Встановлення
- Завантажте Yubico PAM.
- Запустіть завантажений .pkg файл, щоб розпочати інсталяцію.
- Натисніть Continue.
- Натисніть Install.
- Коли програма інсталяції запитає пароль, введіть пароль або використайте Touch ID для підтвердження інсталяції.
- Натисніть Close, щоб вийти з програми інсталяції.
Конфігурація
Налаштування YubiKey
Для налаштування YubiKey вам знадобиться ПЗ YubiKey Manager.
- Відкрийте YubiKey Manager.
- Вставте YubiKey у доступний USB-порт вашого Mac.
- Натисніть Applications, а після OTP.
- Під Long Touch (Slot 2) натисніть Configure.
- Оберіть Challenge-response та натисніть Next.
- Натисніть Generate, щоб згенерувати новий секретний код.
- (Вибірково) Відзначте опцію Require touch, якщо ви хочете включити обов’язковий дотик до кнопки-датчику на YubiKey, для підтвердження операцій Виклик-Відповідь.
- Натисніть Finish.
Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу в macOS. Притьмом рекомендується налаштувати запасний YubiKey для того, щоб мати доступ до Mac у разі, якщо основний YubiKey буде втрачено або зламано.
Прив’язка YubiKey до вашого облікового запису
- Відкрийте Terminal.
- Вставте YubiKey в доступний USB-порт вашого Mac.
- Виконайте команду: ykpamcfg -2.
- Якщо ви раніше відзначили опцію Require touch, то коли індикатор YubiKey почне блимати, торкніться кнопки-датчика на ключі.
Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу до macOS.
Примітка: Якщо ви бачите повідомлення про помилку на кшталт File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, це означає, що використовуваний YubiKey вже прив’язаний до даного облікового запису. Якщо ви налаштовуєте YubiKey з новим запрограмованим секретним кодом Виклик-Відповідь, вам слід видалити вказаний файл перед запуском команди ykpamcfg -2.
Тестування конфігурації
(Вгору)
Перед увімкненням обов’язкової двофакторної автентифікації на Mac слід перевірити працездатність конфігурації. Це можна зробити для початку увімкнувши цю опцію тільки для зберігача екрана; якщо щось піде не так, ви зможете перезавантажити ваш Mac і увійти в систему звичайним способом — за допомогою пароля.
Спочатку переконайтеся, що ваш Mac налаштований запитувати пароль одразу після запуску зберігача екрану.
- Відкрийте System Preferences.
- Натисніть Security & Privacy.
- Натисніть на вкладку General.
- Позначте опцію Require password та виберіть immediately.
Тепер Mac може бути налаштований на використання двофакторної автентифікації зберігачем екрана.
- Відкрийте Terminal.
- Виконайте команду: sudo nano /etc/pam.d/screensaver
- Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
- Під рядком account required pam_opendirectory.so додайте наступний рядок:
auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response
- Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.
Щоб перевірити конфігурацію, натисніть Command + Ctrl + Q для блокування екрану Mac. Переконайтеся, що YubiKey не під’єднаний до Mac і спробуйте увійти до облікового запису; в нормі має бути так: вхід не відбувається, навіть якщо пароль було введено правильно. Потім увімкніть YubiKey і переконайтеся, що ви можете увійти в систему після введення правильного пароля.
Залучення конфігурації
(Вгору)
Після того, як ви перевірили працездатність конфігурації, дотримуйтесь наведеної нижче покрокової інструкції, щоб увімкнути двофакторну автентифікацію для екрана входу, так само як і для зберігача екрана.
- Відкрийте Terminal.
- Виконайте команду: sudo nano /etc/pam.d/authorization
- Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
- Під рядком account required pam_opendirectory.so додайте наступний рядок:
auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response
- Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.
Усунення несправностей
(Вгору)
Якщо після виконання вищевказаних процедур виникнуть неполадки з Yubico PAM, за допомогою наступних кроків ви зможете викликати журнал налагоджування, який допоможе знайти джерело проблеми.
- Відкрийте Terminal.
- Виконайте команду: sudo touch /var/log/pam_yubico.log
- Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
- Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
- Виконайте команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/authorization
- Спробуйте виконати вхід в систему при підключеному YubiKey.
Ви можете проаналізувати файл журналу /var/log/pam_yubico.log, щоб знайти причину виникнення проблеми. Або зверніться до служби підтримки Yubico та надішліть дані журналу.
Видалення Yubico PAM
(Вгору)
Щоб видалити Yubico PAM, завантажте скрипт, потім виконайте наведені нижче дії.
- Відкрийте Terminal.
- Виконайте команду: cd ~/Downloads
- Виконайте команду: sudo bash uninstall-maclogintool.sh
- Після запиту натисніть Enter, щоб підтвердити видалення.
Примітки
- Увімкнення Yubico PAM зачіпає всі системні облікові записи на Mac.
- Якщо функція Touch ID увімкнена, вхід буде виконуватись без участі Yubico PAM. Це пов’язано з особливостями реалізації Touch ID.