Як налаштувати YubiKey з обліковим записом macOS

Як налаштувати YubiKey для захисту облікових записів macOS?

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко налаштувати U2F ключ безпеки для роботи з обліковими записами macOS.

Зміст

Сумісні YubiKey

(Вгору)
YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.

Вступ

(Вгору)
Утиліта Yubico PAM дозволяє налаштувати надійну двофакторну автентифікацію на комп’ютерах Mac за допомогою функції HMAC-SHA1 Виклик-Відповідь, яку підтримує YubiKey.

Примітка: При використанні Yubico PAM рекомендується включити повне шифрування диска (FDE) в FileVault. Якщо, шифрування не буде увімкнено, це дасть можливість входу в систему без YubiKey, через режим відновлення.

Встановлення


(Вгору)

  1. Завантажте Yubico PAM.
  2. Запустіть завантажений .pkg файл, щоб розпочати інсталяцію.
  3. Натисніть Continue.
  4. Натисніть Install.
  5. Коли програма інсталяції запитає пароль, введіть пароль або використайте Touch ID для підтвердження інсталяції.
  6. Натисніть Close, щоб вийти з програми інсталяції.

Конфігурація


(Вгору)

Налаштування YubiKey

Для налаштування YubiKey вам знадобиться ПЗ YubiKey Manager.

  1. Відкрийте YubiKey Manager.
  2. Вставте YubiKey у доступний USB-порт вашого Mac.
  3. Натисніть Applications, а після OTP.
  4. Під Long Touch (Slot 2) натисніть Configure.
  5. Оберіть Challenge-response та натисніть Next.
  6. Натисніть Generate, щоб згенерувати новий секретний код.
  7. (Вибірково) Відзначте опцію Require touch, якщо ви хочете включити обов’язковий дотик до кнопки-датчику на YubiKey, для підтвердження операцій Виклик-Відповідь.
  8. Натисніть Finish.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу в macOS. Притьмом рекомендується налаштувати запасний YubiKey для того, щоб мати доступ до Mac у разі, якщо основний YubiKey буде втрачено або зламано.

Прив’язка YubiKey до вашого облікового запису


(Вгору)

  1. Відкрийте Terminal.
  2. Вставте YubiKey в доступний USB-порт вашого Mac.
  3. Виконайте команду: ykpamcfg -2.
    • Якщо ви раніше відзначили опцію Require touch, то коли індикатор YubiKey почне блимати, торкніться кнопки-датчика на ключі.

Повторіть ці кроки для кожного YubiKey, який ви хочете використовувати для входу до macOS.

Примітка: Якщо ви бачите повідомлення про помилку на кшталт File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, це означає, що використовуваний YubiKey вже прив’язаний до даного облікового запису. Якщо ви налаштовуєте YubiKey з новим запрограмованим секретним кодом Виклик-Відповідь, вам слід видалити вказаний файл перед запуском команди ykpamcfg -2.

Тестування конфігурації

(Вгору)
Перед увімкненням обов’язкової двофакторної автентифікації на Mac слід перевірити працездатність конфігурації. Це можна зробити для початку увімкнувши цю опцію тільки для зберігача екрана; якщо щось піде не так, ви зможете перезавантажити ваш Mac і увійти в систему звичайним способом — за допомогою пароля.

Спочатку переконайтеся, що ваш Mac налаштований запитувати пароль одразу після запуску зберігача екрану.

  1. Відкрийте System Preferences.
  2. Натисніть Security & Privacy.
  3. Натисніть на вкладку General.
  4. Позначте опцію Require password та виберіть immediately.

Тепер Mac може бути налаштований на використання двофакторної автентифікації зберігачем екрана.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/screensaver
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Щоб перевірити конфігурацію, натисніть Command + Ctrl + Q для блокування екрану Mac. Переконайтеся, що YubiKey не під’єднаний до Mac і спробуйте увійти до облікового запису; в нормі має бути так: вхід не відбувається, навіть якщо пароль було введено правильно. Потім увімкніть YubiKey і переконайтеся, що ви можете увійти в систему після введення правильного пароля.

Залучення конфігурації

(Вгору)
Після того, як ви перевірили працездатність конфігурації, дотримуйтесь наведеної нижче покрокової інструкції, щоб увімкнути двофакторну автентифікацію для екрана входу, так само як і для зберігача екрана.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo nano /etc/pam.d/authorization
  3. Після запиту на введення пароля, введіть ваш пароль і натисніть Enter.
  4. Під рядком account required pam_opendirectory.so додайте наступний рядок:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Натисніть Ctrl+X, Y, після чого Enter, щоб зберегти файл.

Усунення несправностей

(Вгору)
Якщо після виконання вищевказаних процедур виникнуть неполадки з Yubico PAM, за допомогою наступних кроків ви зможете викликати журнал налагоджування, який допоможе знайти джерело проблеми.

  1. Відкрийте Terminal.
  2. Виконайте команду: sudo touch /var/log/pam_yubico.log
  3. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  4. Виконайте команду: sudo chmod 766 /var/log/pam_yubico.log
  5. Виконайте команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/authorization
  6. Спробуйте виконати вхід в систему при підключеному YubiKey.

Ви можете проаналізувати файл журналу /var/log/pam_yubico.log, щоб знайти причину виникнення проблеми. Або зверніться до служби підтримки Yubico та надішліть дані журналу.

Видалення Yubico PAM

(Вгору)
Щоб видалити Yubico PAM, завантажте скрипт, потім виконайте наведені нижче дії.

  1. Відкрийте Terminal.
  2. Виконайте команду: cd ~/Downloads
  3. Виконайте команду: sudo bash uninstall-maclogintool.sh
  4. Після запиту натисніть Enter, щоб підтвердити видалення.

Примітки


(Вгору)

  • Увімкнення Yubico PAM зачіпає всі системні облікові записи на Mac.
  • Якщо функція Touch ID увімкнена, вхід буде виконуватись без участі Yubico PAM. Це пов’язано з особливостями реалізації Touch ID.

Режим смарт-картки YubiKey на macOS — зручна автентифікація для розробників

Смарт-картки користуються великою популярністю вже багато років як надійний засіб для ідентифікації, автентифікації та авторизації на підприємствах чи в навчальних закладах. Вони бувають різних формфакторів: від SIM-картки на телефоні до пластикової картки. Але якщо...

OTP-паролі на YubiKey — як це працює

OTP-паролі — це одноразові паролі (походження OTP від англ. one time password), які використовуються для одного сеансу автентифікації. Їх дія зазвичай обмежена часом. Ви могли отримувати такі коди на телефон чи пошту при спробі зайти в онлайн-банкінг або коли...

Як захиститися від фішингу за допомогою YubiKey на Binance

Binance — одна з найбільших та найпопулярніших бірж криптовалюти у світі. За її допомогою можна відстежувати рухи ринку криптовалюти, інвестувати у цифрові активи та проводити торгові операції у режимі реального часу.  Звісно, для того, щоб ефективно користуватися...

Автентифікатор Yubico — інструкція з використання

Ця інструкція створена для того, щоб допомогти вам налаштувати ключі YubiKey в будь-яких сервісах, які пропонують підключення двофакторної автентифікації за допомогою програм-автентифікаторів, що генерують коди.

Як налаштувати YubiKey в Linux за допомогою функції “виклик-відповідь”

Апаратні ключі безпеки YubiKey роблять вашу систему більш захищеною. А саму процедуру входу в облікові записи — швидшою та зручнішою. Дотримуйтесь наступних інструкцій, щоб легко додати необхідні налаштування в системі Linux.Налаштування YubiKey в Linux значно...

5 способів встановлення ПЗ Yubico на Linux

Для того, щоб користуватися ключами YubiKey в системі Linux, вам знадобиться встановити відповідне програмне забезпечення (ПЗ) Yubico: Автентифікатор Yubico; YubiKey Manager; Вбудовані репозиторії; Пакети PPA Yubico; Компіляція з вихідного коду. Встановлення...

Як додати запасний ключ безпеки YubiKey та навіщо це робити

Як додати запасний ключ безпеки YubiKey та навіщо це робити Як додати запасний ключ безпеки YubiKey та навіщо це робити   Апаратний ключ безпеки YubiKey дуже надійний — він стійкий до зносу та не втрачає властивостей при потраплянні у воду. Але він має невеличкий...

Як налаштувати YubiKey в Linux за допомогою функції U2F

За допомогою апаратних ключів безпеки YubiKey ваша система отримує підвищений рівень захисту, а процес входу до облікових записів стає швидшим і зручнішим. Щоб легко налаштувати необхідні параметри в системі Linux, варто дотримуватись наведених інструкцій.Налаштування...

Як налаштувати YubiKey з обліковими записами Google

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу до облікових записів безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко настроїти U2F ключ безпеки для роботи з обліковими записами Google.

Як налаштувати YubiKey з обліковим записом Facebook

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих покрокових інструкцій, щоб легко налаштувати U2F ключ безпеки для роботи з обліковими записами Facebook.