특정 사용자 계정에 대한 인증 방법으로 비밀번호* 및 비밀번호+Yubikey를 활성화하려면 어떻게 해야 합니까?

특정 사용자 계정에 대한 인증 방법으로 비밀번호* 및 비밀번호+Yubikey를 활성화하려면 어떻게 해야 합니까?

문맥

나는 매우 게으르다. 하지만 안전에 대해서는 (다소) 걱정도 됩니다.

따라서 내 컴퓨터(Fedora를 실행하는)에서 다음을 수행할 수 있기를 원합니다.

  • 강력한 비밀번호를 사용하여 내 세션에 로그인하세요.
  • 내 Yubikey가 연결되면 빠른 비밀번호를 사용하여 내 세션에 로그인하세요.

3가지 이유가 있습니다:

  1. 비밀번호만 사용하여 내 컴퓨터에 로그인할 수 있기를 원합니다(Yubikey를 분실했거나 침대에 편안해서 침대에서 일어나고 싶지 않은 경우 재킷에 Yubikey를 집어 넣으세요. 나는 게으르다는 것을 기억하십시오).
  2. 그러나 Yubikey가 연결되어 있는 경우(예: 직장에서) 세션을 자주 잠그기 때문에 빠르게 입력한 비밀번호만 사용하여 로그인하고 싶습니다(저는 게으르다는 점을 기억하세요). 그래서 다시 로그인해야 합니다.
  3. 그러나 세션을 잠글 때 키를 제거하는 것을 잊어버릴 수 있기 때문에 Yubikey를 비밀번호 없이 단독으로 사용하고 싶지 않습니다(게으르고 보안이 걱정됨).

질문

이 두 가지 인증 방법 중 하나를 사용하여 로그인할 수 있도록 사용자 계정을 어떻게 설정합니까?

  • 암호만,
  • 비밀번호+Yubikey

답변1

지금까지 제가 생각해낸 솔루션 전략은 다음과 같습니다.

  1. 한 사람은 동일한 UID로 여러 계정을 만들 수 있습니다(참조:동일한 UID를 가진 사용자를 생성할 수 있는 이유는 무엇입니까?) - 즉, 운영 체제의 관점에서 두 계정은 모두 동일한 사용자이지만 각 계정에 대해 별도의 인증 방법을 가질 수 있습니다(하나는 비밀번호, 다른 하나는 Yubikey + 비밀번호). 이게 좋은 생각이야?토론.
  2. 가능한Yubikey와 비밀번호가 필요합니다인증 전략으로. 그것은에 정의되어 있습니다리눅스 PAM체계. (비밀번호만 있어도 됩니다!)

아직 해결하지 못한 점:

  • 특정 PAM 규칙을 할당하는 방법계정당(위의 1번 항목 참조)?
  • GDM(GNOME 디스플레이 관리자 - Fedora 인증용 GUI)에서 Yubikey + 암호 문구 인증 정책을 구현하는 방법은 무엇입니까?

(이 문제에 대한 진전이 있으면 이 게시물을 업데이트하겠습니다.)

관련 정보