Close
LOGO Around
PrivacyIDEA가 있는 Yubikey 등록 및 사용 방법

PrivacyIDEA가 있는 Yubikey 등록 및 사용 방법

2022-10-19 last update

6 minutes reading linux security

개인 정보 보호 받기IDEA


우리는 privacyIDEA의 최신 0.9.1을 사용합니다.
pip 또는 github를 통해 privacyidea 서버를 가져옵니다.
$ 자식 클론 https://github.com/privacyidea/privacyidea.git
기본 디렉토리에서 pasteer 명령을 사용하여 간단히 서버를 시작할 수 있습니다.

$ python setup.py build$ pasteer serve config/privacyidea.ini.examplePID 29608에서 서버 시작
privacyIDEA는 관리 사용자를 위한 통합 인증을 사용합니다. 관리자 계정은 config/admin-users에 있습니다.
git repo에는 aa admin(password:test)과 admin2(password:secret)가 있습니다. 이 파일을 삭제하고 새 관리자를 만들어야 합니다.
$ tools/privacyidea-create-pwidresolver-user -u admin -p yourPassword -i 1000 > config/admin-users
이제 사용자 "[email protected]"과 암호 "yourPassword"를 사용하여 http://localhost:5001에서 관리 UI에 로그인할 수 있습니다.

Yubikey 등록


Privacyidea 관리 클라이언트를 가져옵니다. Yubikey를 등록하려면 pyusb 및 python-yubico 모듈이 필요합니다.
$ 자식 클론 https://github.com/privacyidea/privacyidea.git
이제 명령을 호출하여 yubikey를 등록할 수 있습니다. 클라이언트는 비밀 키를 만들어 yubikey에 저장하고 새 토큰 생성을 위해 비밀 키를 서버로 보냅니다.
$ ./privacyideaadm -U http://localhost:5001 [email protected] -C yubikey_mass_enroll --yubislot=1'[email protected]'의 비밀번호를 입력하세요:다음 유비키를 입력하세요. 일련번호가 '00508326'인 Yubikey를 찾았습니다.{ u'status': True, u'value': True}다음 yubikey를 삽입하세요.^C
이제 웹 관리에서 "Yubikey, Oath Mode"를 의미하는 일련의 UBOM...이 있는 토큰을 볼 수 있습니다. Yubikey 버튼을 누르면 6자리 OTP 값이 출력됩니다. 시도 해봐!

내 사용자는 어디에 있습니까?


브라우저에서 privacyIDEA 관리 http://localhost:5001로 이동합니다. 로그인 양식이 표시됩니다. 이 로그인은 일반 사용자가 셀프 서비스 포털에 액세스하는 데 사용하지만 관리자도 토큰 관리 인터페이스에 액세스하는 데 사용합니다.
생성한 관리자 계정으로 로그인합니다. @admin을 추가하는 것을 잊지 마십시오. 따라서 use superruth를 만든 경우 [email protected]으로 로그인해야 합니다.
이제 사용자가 있는 위치에 대한 일종의 포인터인 첫 번째 확인자를 만듭니다.
privacyIDEA Config -> useridresolvers로 이동하여 "new"를 선택하고/etc/passwd에서 "flat file"리졸버를 생성합니다.
이제 리졸버를 영역에 넣습니다. privacyIDEA 구성 -> 영역으로 이동하여 새 영역을 생성하고 영역 이름을 입력하고 방금 생성한 해석기를 선택합니다.
"사용자 보기"탭에서 사용자를 볼 수 있습니다.
사용자를 선택하고 토큰을 선택합니다. 왼쪽에 있는 "할당"버튼을 클릭합니다. 토큰은 이제 사용자에게 속하므로 "테스트"와 같은 추가 PIN을 입력할 수 있습니다.

확인 해봐!


이제 토큰이 사용자에게 속하므로 사용자는 이제 이 토큰으로 인증할 수 있습니다.
유비키를 재장착합니다.
웹 API를 사용하여 인증을 테스트합니다. 브라우저에서 다음을 호출할 수 있습니다.
http://localhost:5001/validate/check?user=bin&pass=test......
그러면 다음과 같은 결과가 나타납니다. 
{

    "version": "privacyIDEA 0.9",
    "jsonrpc": "2.0",
    "result": {
        "status": true,
        "value": true
    },
    "id": 0

}
"value":"true"는 인증이 성공했음을 의미합니다.
LinOTP의 포크이기 때문에 현재 privacyIDEA는 LinOTP와 동일한 응답으로 동일한 API를 사용합니다. 즉. LinOTP에도 사용할 수 있는 인증 모듈/플러그인을 사용할 수 있습니다.
모든 것이 잘못되면 감사 탭을 살펴봐야 합니다.

생산


생산적인 사용을 위해서는 pasteer 대신 MySQL 또는 PostgreSQL과 같은 데이터베이스와 Apache 또는 nginx 웹서버를 사용해야 합니다. 이것은 다음 하우투의 일부가 될 것입니다.
Debian Wheezy에서 모든 PHP 모드(CLI, CGI, FCGI 및 FPM)용 Ioncube Loader 설치
완벽한 서버 - Ubuntu 14.04(nginx, BIND, MySQL, PHP, Postfix, Dovecot 및 ISPConfig 3)