為集中管理的用戶提供 FIDO2 認證
FIDO2
FIDO2 是以 公鑰加密 為基礎的開放式認證標準,比起密碼和一次性密碼(OTP),它的安全性更高且易用性更強。它通常以類似小型 USB 和基于 NFC 的硬件安全令牌的方式提供。有幾種符合 FIDO 認可的密鑰品牌,例如:YubiKey、NitroKey、SoloKey v2 等等。
此協議的優勢包括:
- 通過使用公鑰加密來消除密碼,從而實現無密碼認證。
- 采用 多因素認證(MFA)以實現強力認證。
- 減少了應用程序之間密碼或公鑰的重復使用,降低數據泄露的風險。
- 私鑰位于安全令牌中并且永不離開,這大大減少了被網絡釣魚的威脅。
前面的文章
在 Fedora 雜志中,有多篇文章闡述了如 FIDO2 的應用場景:《如何使用 FIDO2 驗證本地用戶》 和 《如何解鎖硬盤》。而此篇文章介紹了如何使用 FIDO2 驗證遠程用戶。請注意,上述所說的設備,主要是指那些來自 Yubico 采用了其他協議的設備,而此篇指南的目的并非討論這些協議。
集中管理的用戶
SSSD 和 FreeIPA 最近新增了一個名為 通行密鑰passkey 的特性,以便對集中管理的用戶執行 FIDO2 認證。此功能目前只在 SSSD 2.9.0 和 FreeIPA 4.11.0 等版本中支持。
Fedora 39 已經包含了這些版本,因此,它是第一個為集中管理的用戶啟用 FIDO2 認證的發行版。此外,用戶在認證成功后,也會一并獲取一個 Kerberos 票據,實現對其他服務的身份證明。
請注意,從這里開始,我將交替使用 FIDO2 和通行密鑰這兩個術語。
FIDO2 認證
FIDO2 配置
作為額外的安全措施,應在設備中啟用 MFA 以防你丟失了密鑰,惡意行為者無法使用它進行認證。
列出連接的通行密鑰設備:
$ fido2-token -L為你的通行密鑰設備設置 PIN(將大寫字母替換為所需的):
$ fido2-token -C /dev/hidrawX如果你有一個兼容的設備,你還可以啟用其他認證因素,例如指紋。
集中用戶配置
首先,我們來創建一個用戶,并將通行密鑰(passkey)設置為其認證方式(請根據需要將大寫字母替換為相應的):
$ ipa user-add USERNAME --first NAME --last SURNAME --user-auth-type=passkey或者,如果你已有一個用戶,并只需要將 passkey 設置為其認證方式:
$ ipa user-mod USERNAME --user-auth-type=passkey集中管理用戶的 FIDO2 注冊
接下來,我們為該用戶注冊這個通行密鑰。這個步驟會提示你輸入 PIN 碼,隨后觸摸設備:
$ ipa user-add-passkey USERNAME --register
Enter PIN:
Please touch the device.
------------------------------------
Added passkey mappings to user "USERNAME"
------------------------------------
User login: USERNAME
Passkey mapping: passkey:XR/MXigmgiBz1z7/RlWoWZkXKIEf1x9Ux5uPNxtzzSTdTiF407u2nRYMPkK8pWjwUR8Aa2urCcC9cnpLbkKgFg==,MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEZqgERsFFv4Yev1dyo2Ap4PvLirg3P3Uhig5mNA4qf061C9q5rg0nMDz9AOYxZmBrwvQEXHCasMNO9VAIVnBIVg==此刻,用戶的認證已準備就緒。
注意,如果你想在生產環境中使用此用戶,我建議你至少注冊兩個不同的設備。這樣,即使你丟失了其中一個設備,你也可以用另一個進行認證。
集中管理的用戶的 FIDO2 認證
在初次嘗試中,只有在物理連接令牌的系統中才能進行認證。這意味著你可以使用 su 或圖形界面,但不能遠程使用 ssh。
我們來試試使用 su,記得將大寫字母替換為所需的。當要求你輸入 PIN,然后觸摸設備時,當設備燈閃爍時觸摸它:
$ su - USERNAME@DOMAIN
Insert your passkey device, then press ENTER.
Enter PIN:如果一切進行順利,Kerberos 票據也應已被授予,然后你就可以向其他服務進行遠程認證:
$ klist
Ticket cache: KCM:879400005:34862
Default principal: USERNAME@DOMAIN
Valid starting Expires Service principal
10/20/23 09:46:04 10/21/23 09:32:37 krbtgt/DOMAIN@DOMAIN結論
此認證機制的目標是提升安全性。通過使用一種眾所周知、開放式的標準實現無密碼和多因素認證,從而降低數據泄露和網絡釣魚威脅的風險。用戶只需要一個硬件令牌及另外一個如 PIN 或者指紋的認證方式,從而消除對密碼的需求,同時提供了方便的多因素認證方法。更進一步,每個應用或服務都使用一個唯一的密鑰,這樣任何一個應用或服務的數據泄露都不會影響其他的。最后,用戶并不需要知道他們的憑據的具體細節,只需了解他們使用了一個實體令牌,這極大地降低了社交工程攻擊的可能性。
