FIDO2を使用してluksボリュームのロック解除を設定し、sd-cryptenrollを使用して回復キーを設定しました。
systemd-cryptenroll --fido2-device=auto /dev/my-luks-device
スロット構成は次のとおりです。
SLOT TYPE
1 recovery
3 fido2
すべてがうまく動作しますが、奇妙な方法で動作します。起動時に最初にリカバリキーの入力を求められ、Enterキーを数回押すと、デフォルトではリカバリキーが失敗し、ユーザーがいる場合にのみfido2と入力するように求められます。 。
マンページにはこれについて言及していませんが、これがスロットの順序に関連しているかどうか疑問に思います。実際には、FIDOのロック解除を試みる前にTPM2を設定しましたが、TPMがスロット2に設定されているにもかかわらず、回復キーを最初に要求したことがないため、ここでは問題ではありません。
どんな助けでも大変感謝します。ありがとうございます!
答え1
私のFIDO2デバイスはYubikey形式を取ります。ユーザーに存在するかどうかを尋ねるには、始める前にコンピュータに接続しておく必要があります。これを行わないと、パスワードの入力を求められます。
ただし、登録がPINを要求するように設定されている場合、Yubikeyはパスワードプロンプトの後に接続できます。次に、PIN(パスワードではない)を入力してボリュームのロックを解除します。
ちなみに私はFedoraにしてみました。このアプリこの機能を設定してください。