문맥
나는 매우 게으르다. 하지만 안전에 대해서는 (다소) 걱정도 됩니다.
따라서 내 컴퓨터(Fedora를 실행하는)에서 다음을 수행할 수 있기를 원합니다.
- 강력한 비밀번호를 사용하여 내 세션에 로그인하세요.
- 내 Yubikey가 연결되면 빠른 비밀번호를 사용하여 내 세션에 로그인하세요.
3가지 이유가 있습니다:
- 비밀번호만 사용하여 내 컴퓨터에 로그인할 수 있기를 원합니다(Yubikey를 분실했거나 침대에 편안해서 침대에서 일어나고 싶지 않은 경우 재킷에 Yubikey를 집어 넣으세요. 나는 게으르다는 것을 기억하십시오).
- 그러나 Yubikey가 연결되어 있는 경우(예: 직장에서) 세션을 자주 잠그기 때문에 빠르게 입력한 비밀번호만 사용하여 로그인하고 싶습니다(저는 게으르다는 점을 기억하세요). 그래서 다시 로그인해야 합니다.
- 그러나 세션을 잠글 때 키를 제거하는 것을 잊어버릴 수 있기 때문에 Yubikey를 비밀번호 없이 단독으로 사용하고 싶지 않습니다(게으르고 보안이 걱정됨).
질문
이 두 가지 인증 방법 중 하나를 사용하여 로그인할 수 있도록 사용자 계정을 어떻게 설정합니까?
- 암호만,
- 비밀번호+Yubikey
답변1
지금까지 제가 생각해낸 솔루션 전략은 다음과 같습니다.
- 한 사람은 동일한 UID로 여러 계정을 만들 수 있습니다(참조:동일한 UID를 가진 사용자를 생성할 수 있는 이유는 무엇입니까?) - 즉, 운영 체제의 관점에서 두 계정은 모두 동일한 사용자이지만 각 계정에 대해 별도의 인증 방법을 가질 수 있습니다(하나는 비밀번호, 다른 하나는 Yubikey + 비밀번호). 이게 좋은 생각이야?토론.
- 가능한Yubikey와 비밀번호가 필요합니다인증 전략으로. 그것은에 정의되어 있습니다리눅스 PAM체계. (비밀번호만 있어도 됩니다!)
아직 해결하지 못한 점:
- 특정 PAM 규칙을 할당하는 방법계정당(위의 1번 항목 참조)?
- GDM(GNOME 디스플레이 관리자 - Fedora 인증용 GUI)에서 Yubikey + 암호 문구 인증 정책을 구현하는 방법은 무엇입니까?
(이 문제에 대한 진전이 있으면 이 게시물을 업데이트하겠습니다.)