私はSSHログインにYubikeyを使い始めました。これガイド。
うまくいきますが、YubikeyがOTPを実行できる場合にのみ可能です。私は何度も誤ってキーを押して不要な場所にランダムな文字列を振りかけた後にPIVのみを使用しているので、OTPを無効にできると思いました。
証明書/キーが存在し、動作しています。
$ ykman --version
YubiKey Manager (ykman) version: 5.1.0
$ cat /etc/fedora-release
Fedora release 38 (Thirty Eight)
$ ykman piv info
PIV version: 5.4.3
PIN tries remaining: 3/3
Management key algorithm: TDES
CHUID: No data available
CCC: No data available
Slot 9A (AUTHENTICATION):
Algorithm: ECCP256
Subject DN: CN=SSH key
Issuer DN: CN=SSH key
Serial: 14009452700000000000
Fingerprint: 1fa375971a89c6f82f3b73218f717cb1d031fbd61c94965qqqqqqqqqqqqqqqqq
Not before: 2023-03-10T10:02:12
Not after: 2024-03-09T10:02:12
OTPを無効にできます。
$ ykman config usb --list
OTP
FIDO U2F
FIDO2
OATH
PIV
OpenPGP
$ ykman config usb --disable OTP
USB configuration changes:
Disable OTP
The YubiKey will reboot
Proceed? [y/N]: y
$ ykman config usb --list
FIDO U2F
FIDO2
OATH
PIV
OpenPGP
ただし、これを実行すると、SSHは機能しなくなり、予想されるキーベースのログインではなくパスワードを入力するように求められます。
OTPを再度有効にできます。
$ ykman config usb --enable OTP
USB configuration changes:
Enable OTP
The YubiKey will reboot
Proceed? [y/N]: y
これにより、SSH機能が復元されます。
PIVが機能するためになぜOTPを有効にする必要があるのですか?