pam-u2f

16 Feb. 2021 2 min Lesezeit

Mit einem FIDO2-Stick wie dem Solo V2 ist es unter Linux möglich, sich nur durch Eingabe einer PIN und dem Antippen des FIDO2-Sticks anzumelden. Diese neue Art der sicheren und benutzerfreundlichen Anmeldung wird durch das Pluggable Authentication Module (PAM) für den Universal Second Factor (U2F) kurz pam-u2f ab Version 1.1.0 ermöglicht.

Auf einen der drei Button des Solo V2 tippen, um die Präsenz zu bestätigen. © solokeys

Solo V2 in den USB-Port stecken. © solokeys

Das offizielle Fedora pam-u2f Paket wurde leider schon lange nicht mehr aktualisiert und befindet sich noch auf Version 1.0.8. Daher stelle ich hier eine aktuelle Version des Paketes bereit.

Zur Installation muss zunächst das Repository hinzugefügt werden. Anschließend lässt sich das Paket aus dem neuen Repository installieren und nutzen.

1
2

sudo dnf copr enable drrdietrich/pam-u2f
sudo dnf --refresh install pamu2fcfg

Die Keys können mit pamu2fcfg registriert werden.

3

pamu2fcfg >> /etc/u2f_mappings

Anschließend können die Konfigurationen beispielsweise in /etc/pam.d/gdm-password und /etc/pam.d/sudo angepasst werden.

4

sudo vim /etc/pam.d/gdm-password

1
2
3
4
5
6
7
8
9

auth [success=done ignore=ignore default=bad] pam_selinux_permit.so
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
auth  optional  pam_exec.so expose_authtok /etc/pam_scripts/pam.sh
auth  substack  password-auth
auth  optional  pam_gnome_keyring.so
auth  include   postlogin

account     required      pam_nologin.so
[...]

5

sudo vim /etc/pam.d/sudo

1
2
3
4
5
6
7
8

#%PAM-1.0
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
auth      include   system-auth
account   include   system-auth
password  include   system-auth
session   optional  pam_keyinit.so revoke
session   required  pam_limits.so
session   include   system-auth

pam-u2f

Demo

Daniel Dietrich

Unterstützer von Free/Libre Open Source Software (FLOSS)