Configuration globale

Installez le paquet libpam-yubico qui ajoute le support des yubikey dans PAM :

aptitude install libpam-yubico

Créez le fichier /etc/yubikey_mappings qui va contenir l'association entre chaque utilisateur et le token ID yubikey (c'est les 12 premiers caractères issus d'un OTP d'une yubikey). Vous pouvez en spécifier plusieurs en les séparant par :

cat > /etc/yubikey_mappings <<EOF
pfoo:cccccatsdogs:ccccdogscats
EOF

Générez un identifiant client et une clé secrète sur https://upgrade.yubico.com/getapikey/

Dans tous les cas : Vérifier que l'authentification par mot-de-passe est autorisé au niveau de la configuration du serveur OpenSSH (PasswordAuthentication yes dans /etc/ssh/sshd_config)7 Attention, si vous souhaitez utiliser la yubikey pour vous loguer en root, pensez à ne PAS désactiver le login root par password dans /etc/ssh/sshd_config (PermitRootLogin yes)

Authentification par clé privé+password OU clé privé+OTP

Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).

Editez le fichier /etc/pam.d/sshd et ajoutez la ligne suivante avant @include common-auth (remplacez XXXX par le Client ID que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la Secret key) :

auth sufficient pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

Le début de votre fichier /etc/pam.d/sshd devrait ressembler à ceci :

# PAM configuration for the Secure Shell service

# Yubikey auth
auth sufficient pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

# Standard Un*x authentication.
@include common-auth

Pour des raisons de sécurité, empêchez other de lire la clé yubico :

chmod o-r /etc/pam.d/sshd

Ajoutez la ligne suivante dans /etc/ssh/sshd_config :

AuthenticationMethods publickey,password

Et relancez le serveur OpenSSH :

/etc/init.d/ssh restart

Les utilisateurs seront désormais obligé de s'authentifier par une clé privée ET un mot de passe. Ce mot de passe dépend de votre configuration PAM. Si vous avec juste suivi cette documentation, les utilisateurs pourront se loguer soit avec leur (clé privé + mot de passe unix), soit avec leur (clé privé + OTP yubikey). Vous pouvez désactiver le login par mot de passe pour un utilisateur spécifique en désactivant son mot-de-passe unix (passwd -d <user>).

Notez également que vous pouvez spécifier la directive AuthenticationMethods dans une directive Match pour modifier les méthodes d'authentification par utilisateur ou même par groupe.

Authentification par clé privé + OTP (pas de password)

Cette configuration ne sera possible qu'a partir de OpenSSH 6.2 (pour Debian, à partir de Debian/Jessie et Debian/Wheezy-backports).

Editez le fichier /etc/pam.d/sshd et ajoutez la ligne suivante avant @include common-auth (remplacez XXXX par le Client ID que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la Secret key) :

auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

Commentez ensuite la ligne @include common-auth Le début de votre fichier /etc/pam.d/sshd devrait ressembler à ceci :

# PAM configuration for the Secure Shell service

# Yubikey auth
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

# Standard Un*x authentication.
#@include common-auth

Empêchez other de lire la clé yubico :

chmod o-r /etc/pam.d/sshd

Ajoutez la ligne suivante dans /etc/ssh/sshd_config :

AuthenticationMethods publickey,password

Et relancez le serveur OpenSSH :

/etc/init.d/ssh restart

Les utilisateurs seront désormais obligé de s'authentifier par une clé privée ET un OTP yubikey.

Notez également que vous pouvez spécifier la directive AuthenticationMethods dans une directive Match pour modifier les méthodes d'authentification par utilisateur ou même par groupe.

Authentification par password + OTP

Éditez le fichier /etc/pam.d/sshd et ajoutez la ligne suivante avant @include common-account (remplacez XXXX par le Client ID que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la Secret key) :

auth      requisite pam_yubico.so id=XXXX key="YYYYYYYY"  authfile=/etc/yubikey_mappings debug
auth [success=1 default=ignore]    pam_unix.so use_first_pass nullok_secure
auth requisite           pam_deny.so
auth required            pam_permit.so

Dans /etc/pam.d/sshd commentez la ligne @include common-auth

Empêchez other de lire la clé yubico :

chmod o-r /etc/pam.d/sshd

Pour vous loguer, il faudra entrer votre mot-de-passe unix suivi de l'OTP yubikey.

Authentification par yubikey seule

Editez le fichier /etc/pam.d/sshd et ajoutez la ligne suivante avant @include common-auth (remplacez XXXX par le Client ID que vous venez de générer chez yubico ; de même pour YYYYYYYY avec la Secret key) :

auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

Commentez ensuite la ligne @include common-auth et ajoutez la ligne auth [success=1 default=ignore] pam_unix.so try_first_pass a la place. Votre configuration devrait ressembler à ça :

# PAM configuration for the Secure Shell service

# Yubikey auth
auth required pam_yubico.so id=XXXX key="YYYYYYYY" authfile=/etc/yubikey_mappings

# Standard Un*x authentication.
#@include common-auth

auth    [success=1 default=ignore]      pam_unix.so try_first_pass

Empêchez other de lire la clé yubico :

chmod o-r /etc/pam.d/sshd

Vérifier aussi que l'auth par password est autorisé par ssh (PasswordAuthentication yes ou commenté dans /etc/ssh/sshd_config)