Help us understand the problem. What is going on with this article?

MacBook で Yubikey 環境を作る

More than 1 year has passed since last update.

はじめに

こんにちは、 台風が過ぎ去って鼻の調子がよくなってきた @FoxBoxsnet です。

週末に学生だけど、奮発して買った MacBook Pro でパスワード認証時に Yubikey を必須にする設定をしたので覚書。

Version Information

name version
macOS macOS Sierra (10.12.6)
OpenSSH OpenSSH_7.4p1, LibreSSL 2.5.0
Yubikey Personalization Tool Application Version: 3.1.24
Libray Version: 1.17.3
pam_yubico 2.24

Yubikey とは

YubiKey(ユビキーと読みます)は、ボタンにタッチするだけの簡単操作で二要素認証を行える小型のハードウェアデバイスです。
YubiKeyは、セキュリティが強固に設計されているため、大企業はもちろん、一般のユーザー様など、どなたにでも簡単にご利用いただけます。
YubiKey NEOは、接触型(USB)と非接触型(NFCやMIFARE)に対応しています。
YubiKeyは、次世代認証標準であるFIDO U2FやYubico-OTP、OATH-OTP、OATH-HOTP、OATH-TOTP、OpenPGP、PIV、チャレンジレスポンス、安全な静的パスワードに対応しています。
ひとつのYubiKeyでアプリケーションの数に上限なくご利用いただけます。ドライバーもクライアントソフトもバッテリーも必要ありません。
詳細はこちら。

ワンタイムパスワードトークンYubiKey |(株)ソフト技研

私は SSH の秘密鍵を利用しているだけでしたが、安心感があったのでここ2年ほど使い続けてます。

初期設定

Configure your YubiKey をインストールします。

AppStore からインストールしました。

ログ設定の変更

Logging SettingsLog configuration outputYubico format に変更します。

Yubico OTP

  1. Yubico OTP の設定をします Yubico OTP タブを開いて Quick を選択します。

  2. Configuration Slot を今回は Configuration Slot 1 を選択

  3. Write Configuration をクリックします。 OK をクリック

  4. ログファイルの名前を適当に入力

  5. 次に Upload to Yubico をクリック

  6. ブラウザーが開くので、 Your email address を入力, OTP from the Yubikey の部分は、 Yubikey を軽くアップして入力する, 最後にChapterを入力して Upload AES Key をクリックする。

Challenge-Response

  1. Challenge-Response をクリックして HMAC-SHA1
  • Program Muitiple Yubikeys チェック
  • Automatically program YubiKeys when insertrd チェック
  • YubiKey(s) unprotected - Enable protection を選択
  • Write Configuration で完了。

PAM 設定

Computer Logon Tools | Yubico

pam モジュールをダウンロードしてインストールする。

bash
mkdir -m0700 -p ~/.yubico
ykpamcfg -2

下記を追記

/etc/pam.d/screensaver
# screensaver: auth account
auth       required       /usr/local/lib/security/pam_yubico.so mode=challenge-response

/etc/pam.d/authorization
auth       required       /usr/local/lib/security/pam_yubico.so mode=challenge-response

さいごに

私は、バックアップ鍵も作成しときました。

参考: YubikeyでMac OS Xログイン時に二要素認証を行うよう設定する | 俺的備忘録 〜なんかいろいろ〜

naa0yama
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした