Yubikey und SSH Login Probleme

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
xcheta
Beiträge: 14
Registriert: 15.03.2015 11:42:13

Yubikey und SSH Login Probleme

Beitrag von xcheta » 17.04.2015 12:06:04

Hi Leute,

Ich weiß ich hab schon ein Thread geschrieben was den Yubikey betrifft aber ich habe nun versucht den Yubikey einzubinden leider geht der noch nicht und um es euch von ganz vorne zu erklären dachte ich starte ich ein neues Thema. Es soll ein SSH-Login geschaffen werden mithilfe eines Yubikeys(Zwei-Faktor-Authentifizierung) ohne Anbindung an die Yubico Server da ich bei einem eventuellen Ausfall der Yubico Validierungsserver noch auf meinen Linux-Server kommen möchte. In dieser Installation habe ich es erstmal auf einer VM versucht.

Als erstes habe ich meinen Yubikey auf meinen Windows-Rechner mit Hilfe des Personalisierungstools von Yubico auf oath-hotp Konfiguriert mit der "Quick Installation" .
http://www.fotos-hochladen.net/view/scr ... f7o9ac.png
Abbildung 1

Als nächsten schritt habe ich das Paket "oathtool" auf meiner Linux-VM installiert.

Code: Alles auswählen

apt-get install oathtool
Nun habe ich mir eine Datei erstellt in /etc/ diese Datei heißt user.oath. In dieser Datei habe ich den Benutzer hineingeschrieben für den der Yubikey sein soll und habe den HexCode hineingeschrieben der beim Konfigurieren vom Yubikey(Abbildung 1) erstellt wurde.
http://www.fotos-hochladen.net/view/scr ... 6ayfb5.png
Abbildung 2

Jetzt wurde noch die /etc/pam.d/sshd und die /etc/ssh/sshd_config/ editiert.
http://www.fotos-hochladen.net/view/scr ... 053uoy.png
Abbildung 3 /etc/pam.d/sshd
Hier wurde folgende Zeile eingefügt:

Code: Alles auswählen

# OATH OTP
auth required pam_oath.so usersfile=/etc/users.oath window=20
window=20 sagt wie oft ich auf den Yubikey drücken darf und es nicht funktionieren darf.
Außerdem wurde

Code: Alles auswählen

@include common-auth
auskommentiert.

In der /etc/ssh/sshd_config wurde nur:

Code: Alles auswählen

 ChallengeResponseAuthentication no 
auf

Code: Alles auswählen

 ChallengeResponseAuthentication yes
geändert.

Führe ich nun zum Test des Yubikey das outhtool aus mit dem HexCode aus Abbildung 1 funktioniert es (denk ich) auch.
http://www.fotos-hochladen.net/view/scr ... 8a0yxq.png

Nun habe ich den SSH-Dienst neugestartet:

Code: Alles auswählen

/etc/init.d/ssh restart
Logge ich mich jetzt über Putty ein muss ich erster mein Passwort eingeben von Root und dann den Yubikey verwenden.
http://www.fotos-hochladen.net/view/scr ... 5l9dwa.png
Leider komm ich genau an dieser stelle nicht weiter da er das Passwort vom Yubikey einfach nicht annimmt. Ich habe nun schon etliche seit Recherchiert und komme nicht weiter kann mir da jemand helfen ?

Danke euch allen schonmal

Xcheta =)

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Yubikey und SSH Login Probleme

Beitrag von rendegast » 17.04.2015 17:45:20

...
Nun habe ich mir eine Datei erstellt in /etc/ diese Datei heißt user.oath.
...
# OATH OTP
auth required pam_oath.so usersfile=/etc/users.oath window=20
...
Nach dem Foto beim Editieren heißt die erstellte Datei dann aber doch users.oath.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

xcheta
Beiträge: 14
Registriert: 15.03.2015 11:42:13

Re: Yubikey und SSH Login Probleme

Beitrag von xcheta » 20.04.2015 09:50:04

Leider habe ich mich da nur verschrieben. Die Datei die ich erstellt habe heißt users.oath

Antworten