Как настроить YubiKey с учетной записью macOS

Как настроить YubiKey для защиты учетных записей macOS?

Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные записи безопасной. Следуйте этим пошаговым инструкциям чтобы с легкостью настроить U2F ключ безопасности для работы с учетными записями macOS.

Содержание

Совместимые YubiKey

(Вверх)
YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, YubiKey NEO, YubiKey 4, YubiKey 4 Nano, YubiKey 4, YubiKey 4C Nano.

Вступление

(Вверх)
Утилита Yubico PAM позволяет настроить надежную двухфакторную аутентификацию на компьютерах Mac при помощи функции HMAC-SHA1 Вызов-Ответ, поддерживаемой YubiKey.

Примечание: При использовании Yubico PAM настоятельно рекомендуется включить полное шифрование диска (FDE) в FileVault. Если шифрование не будет включено, это даст возможность входа в систему без YubiKey, через режим восстановления.

Установка

(Вверх)

  1. Загрузите Yubico PAM.
  2. Запустите загруженный .pkg файл, чтобы начать установку.
  3. Нажмите Continue.
  4. Нажмите Install.
  5. Когда программа установки запросит пароль, введите пароль или используйте Touch ID, для подтверждения установки.
  6. Нажмите Close для выхода из программы установки.

Конфигурация

(Вверх)

Настройка YubiKey

Для настройки YubiKey вам понадобится ПО YubiKey Manager.

  1. Откройте YubiKey Manager.
  2. Вставьте YubiKey в доступный USB-порт вашего Mac.
  3. Нажмите Applications, затем OTP.
  4. Под Long Touch (Slot 2) нажмите Configure.
  5. Выберите Challenge-response и нажмите Next.
  6. Нажмите Generate, чтобы сгенерировать новый секрет.
  7. (Выборочно) Отметьте опцию Require touch, если вы хотите включить обязательное касание к кнопке-датчику на YubiKey, для подтверждения операций Вызов-Ответ.
  8. Нажмите Finish.

Повторите данные шаги для каждого YubiKey, который вы хотите использовать для входа в macOS. Настоятельно рекомендуется настроить запасной YubiKey для того, чтобы иметь доступ к Mac в случае, если основной YubiKey будет утерян или сломан.

Привязка YubiKey к вашей учётной записи

(Вверх)

  1. Откройте Terminal.
  2. Вставьте YubiKey в доступный USB-порт вашего Mac.
  3. Выполните команду: ykpamcfg -2.
    • Если вы ранее отметили опцию Require touch, то когда индикатор на YubiKey начнет мигать, прикоснитесь к кнопке-датчику на ключе.

Повторите данные шаги для каждого YubiKey, который вы хотите использовать для входа в macOS.

Примечание: Если вы видите сообщение об ошибке наподобие File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite, это значит, что используемый YubiKey уже привязан к данной учётной записи. Если вы настраиваете YubiKey с новым запрограммированным секретом Вызов-Ответ, вам следует удалить указанный файл перед запуском команды ykpamcfg -2.

Тестирование конфигурации

(Вверх)
Перед включением обязательной двухфакторной аутентификации на Mac следует проверить работоспособность конфигурации. Это можно сделать для начала включив данную опцию только для хранителя экрана; если что-нибудь пойдёт не так, вы сможете перезагрузить ваш Mac, и войти в систему обычным способом — при помощи пароля.

Для начала убедитесь, что ваш Mac настроен запрашивать пароль сразу после запуска хранителя экрана.

  1. Откройте System Preferences.
  2. Нажмите Security & Privacy.
  3. Нажмите на вкладку General.
  4. Отметьте опцию Require password и выберите immediately.

Теперь Mac может быть настроен на использование двухфакторной аутентификации хранителем экрана.

  1. Откройте Terminal.
  2. Выполните команду: sudo nano /etc/pam.d/screensaver
  3. После запроса на ввод пароля, введите ваш пароль и нажмите Enter.
  4. Под строкой account required pam_opendirectory.so добавьте следующую строку:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Нажмите Ctrl+X, Y, затем нажмите Enter, чтобы сохранить файл.

Чтобы проверить конфигурацию, нажмите Command+Ctrl+Q для блокировки экрана Mac. Убедитесь, что YubiKey не подключен к Mac и попытайтесь войти в учётную запись; у вас не должно получиться войти, даже если пароль был введён правильно. Затем подключите YubiKey и убедитесь, что вам удаётся войти в систему после ввода правильного пароля.

Задействование конфигурации

(Вверх)
После того как вы проверили работоспособность конфигурации, следуйте приведенной ниже пошаговой инструкции, чтобы включить двухфакторную аутентификацию для экрана входа, так же как и для хранителя экрана.

  1. Откройте Terminal.
  2. Выполните команду: sudo nano /etc/pam.d/authorization
  3. После запроса на ввод пароля, введите ваш пароль и нажмите Enter.
  4. Под строкой account required pam_opendirectory.so добавьте следующую строку:

auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response

  1. Нажмите Ctrl+X, Y, затем нажмите Enter, чтобы сохранить файл.

Устранение неполадок

(Вверх)
Если после выполнения вышеуказанных процедур возникнут неполадки с Yubico PAM, с помощью следующих шагов вы сможете включить отладочное журналирование, которое поможет найти источник проблемы.

  1. Откройте Terminal.
  2. Выполните команду: sudo touch /var/log/pam_yubico.log
  3. Выполните команду: sudo chmod 766 /var/log/pam_yubico.log
  4. Выполните команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/screensaver
  5. Выполните команду: sudo sed -i “.yubibak” -E “s/^auth.+pam_yubico\.so.+mode=challenge-response/& debug debug_file=\/var\/log\/pam_yubico.log/” /etc/pam.d/authorization
  6. Попробуйте выполнить вход в систему при подключенном YubiKey.

Вы можете изучить файл журнала /var/log/pam_yubico.log, чтобы найти причину возникновения неполадки. Или обратитесь в службу поддержки Yubico и отправьте данные журнала.

Удаление Yubico PAM

(Вверх)
Чтобы удалить Yubico PAM, скачайте скрипт, затем выполните приведённые ниже действия.

  1. Откройте Terminal.
  2. Выполните команду: cd ~/Downloads
  3. Выполните команду: sudo bash uninstall-maclogintool.sh
  4. После запроса нажмите Enter для подтверждения удаления.

Примечания

(Вверх)

  • Включение Yubico PAM затрагивает все системные учетные записи на Mac.
  • Если функция Touch ID включена, вход будет выполняться без участия Yubico PAM. Это связано с особенностями реализации Touch ID.

OTP-пароли на YubiKey – как это работает

OTP-пароли – это одноразовые пароли (происхождение OTP от англ. one time password), которые используются для одного сеанса аутентификации. Их действие обычно ограничено временем. Вы могли получать такие коды на телефон или почту при попытке зайти в онлайн-банкинг или...

Как защититься от фишинга с помощью YubiKey на Binance

Binance — одна из самых крупных и популярных бирж криптовалюты в мире. С ее помощью можно отслеживать движения рынка криптовалюты, инвестировать в цифровые активы и проводить торговые операции в режиме реального времени. Конечно, для того чтобы эффективно пользоваться...

Аутентификатор Yubico — инструкция по использованию

Эта инструкция создана для того, чтобы помочь вам настроить ключи YubiKey в любых сервисах, предлагающих подключение двухфакторной аутентификации с помощью генерирующих коды программ-аутентификаторов.

Как настроить YubiKey в Linux с помощью функции “вызов-ответ”

Аппаратные ключи безопасности YubiKey делают вашу систему более защищенной. А саму процедуру входа в аккаунты — более быстрой и удобной. Следуйте следующим инструкциям, чтобы легко добавить необходимые настройки в Linux.Настройка YubiKey в Linux значительно отличается...

5 способов установки ПО Yubico на Linux

Для того, чтобы пользоваться ключами YubiKey в системе Linux, вам понадобится установить соответствующее программное обеспечение (ПО) Yubico: Аутентификатор Yubico; YubiKey Manager; Встроенные репозитории; Пакеты PPA Yubico; Компиляция из исходного кода. Установка...

Как добавить запасной ключ безопасности YubiKey и зачем это делать

Как добавить запасной ключ безопасности YubiKey и зачем это делать Как добавить запасной ключ безопасности YubiKey и зачем это делать   Аппаратный ключ безопасности YubiKey очень надежен – он устойчив к износу и не теряет свойств при попадании в воду. Но он имеет...

Как настроить YubiKey в Linux с помощью функции U2F

С помощью аппаратных ключей безопасности YubiKey ваша система получает повышенный уровень защиты, а процесс входа в аккаунты становится быстрее и удобнее. Чтобы легко настроить необходимые параметры в системе Linux, следует придерживаться указанных...

Как настроить YubiKey в Windows 10

Как настроить YubiKey с учетной записьюWindows 10Как настроить YubiKey для защиты учетных записей Windows 10? Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные...

Как настроить YubiKey с учетной записью macOS

Как настроить YubiKey с учетной записью macOSКак настроить YubiKey для защиты учетных записей macOS?Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные записи...

Как настроить YubiKey c учетной записью GitHub

Как настроить YubiKey c учетной записью GitHubКак настроить YubiKey для защиты учетных записей GitHub? Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные записи...