コンテキスト
私はとても怠惰です。しかし、安全については(多少)心配もあります。
したがって、私のコンピュータ(Fedoraを実行している)で次のことができるようにしたいと思います。
- 強力なパスワードを使用して自分のセッションにログインします。
- 私のYubikeyが接続されたら、クイックパスワードを使用して自分のセッションにログインします。
3つの理由があります:
- パスワードのみを使用して自分のコンピュータにログインできるようにしたい(Yubikeyを紛失した場合、またはベッドに快適でベッドで起きたくない場合は、JacketにYubikeyを入れてください。私は怠惰であることを忘れないでください)。
- しかし、Yubikeyが接続されている場合(たとえば、職場で)セッションを頻繁にロックするため、すぐに入力したパスワードのみを使用してログインしたいと思います(私は怠惰であることを覚えておいてください)。だからもう一度ログインする必要があります。
- ただし、セッションをロックするときにキーを削除するのを忘れる可能性があるため、Yubikeyをパスワードなしで単独で使用したくありません(怠惰でセキュリティが心配です)。
質問
これら2つの認証方法のいずれかを使用してログインできるようにユーザーアカウントを設定するにはどうすればよいですか?
- パスワードのみ、
- パスワード+Yubikey
答え1
これまでに私が思いついたソリューション戦略は次のとおりです。
- 1人は同じUIDで複数のアカウントを作成できます(参照:同じUIDを持つユーザーを作成できるのはなぜですか?) - つまり、オペレーティングシステムの観点から、両方のアカウントは同じユーザーですが、各アカウントに対して別々の認証方法を持つことができます(1つはパスワード、もう1つはYubikey +パスワード)。これはいい考えですか?ディスカッション。
- 可能Yubikeyとパスワードが必要です認証戦略として。に定義されていますLinux PAMシステム。 (パスワードだけでも構いません!)
まだ解決していない点:
- 特定のPAMルールを割り当てる方法アカウントごと(上記の1番を参照)?
- GDM(GNOMEディスプレイマネージャ - Fedora認証用GUI)でYubikey +パスワードフレーズ認証ポリシーを実装するには?
(この問題に関する進展がある場合は、この投稿を更新します。)