https://askubuntu.com/questions/1167691/passwordless-login-with-yubikey-5-nfc
Читать лучше целиком. И краткий пересказ
sudo apt install libpam-u2f
pamu2fcfg | sudo tee /etc/u2f_mappings
# По комментам, лучше писать
# pamu2fcfg -u USERNAME | tee /etc/u2f_mappings
# OR (from root only)
# pamu2fcfg -u USERNAME >> /etc/u2f_mappings
После этого обновляем pam.d/ конфиги, добавляя auth sufficient pam_u2f.so ко всем связанным сервисам: gdm-password lightdm sudo login
sudo -i
cd /etc/pam.d
echo 'auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue' > common-u2f
for f in gdm-password lightdm sudo login; do
mv $f $f~
awk '/@include common-auth/ {print "@include common-u2f"}; {print}' $f~ > $f
done
exit
Момент в том, что проверять ключ нужно ДО @include common-auth
При этом можно сделать нормальный 2FA, ожидая касания ключа ПОСЛЕ ввода пароля. Для этого строка чуть меняется (и ставится ПОСЛЕ @include common-auth):
auth required pam_u2f.so
Нужно понимать, что так без ключа войти не получится!
Комментариев нет:
Отправить комментарий