Zwei-Faktor-Authentisierung bei LUKS Cornelius Kölbel cornelius@privacyidea.org

Der Yubikey

OTP Token

Standard, Neo, Nano

HOTP, AES, Challenge Response

Yubikey und LUKS

1. Beschränkung von LUKS

1.1 Keyslot nur mit symmetrische Passphrase schützbar

1.2 initrd: Moving factor schlecht schreibbar

2. Challenge Response mit Passwort erzeugt eine "Passphrase" Hands On:

2.1 yubikey-personalization installieren

2.2 Token initialisieren: $ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

2.3 $ ykchalresp -2 Hallo

3. yubikey-luks

3.1 https://github.com/cornelinux/yubikey-luks

4. Installation von yubikey-luks auf client Hands On:

4.1 ppa launchpad: https://launchpad.net/~privacyidea/+archive/ubuntu/privacyidea

4.2 $ yubikey-luks-enroll

4.3 Booten des Clients mit Yubikey

privacyIDEA

Design

Token Module

HOTP

TOTP

MOTP

OCRA

Yubikey

Tagespasswort

Remote

RADIUS

SMS

EMail

Benutzer Module

LDAP

SQL

SCIM

FlatFile

Management

API

Web UI

Client

Audit

API

SQL

Authentisierung

API

Web

FreeRADIUS

SimpleSAMLphp

OpenID

Windows Credential Provider

Hands On: Installation und Konfiguration

1. vgl. http://www.howtoforge.com/how-to-setup-otp-appliance-with-privacyidea

2. add-apt-repository ppa:privacyidea/privacyidea-dev

3. Installiere privacyidea-appliance

4. Q & A

5. privacyidea-setup-tui

5.1 Administrator

5.2 MySQL

Hands On: OTP

1. Default Realm erzeugen

2. zweiten Realm erzeugen

3. FreeOTP Token ausrollen

4. Yubikey HOTP ausrollen

4.1 Auf Server mit privacyidea adm und bash completion

5. Authentisierung an

5.1 PAM

5.2 OpenVPN

5.3 Wordpress & Co. (SAML)

5.4 Windows CLients! ;-)

Hands On: LUKS

1. Maschine definieren: "luks-client"

1.1 Seriennummer vom Yubikey Slot 2

1.2 LUKS App

1.3 slot = 3

1.4 partition = /dev/sda5

2. privacyidea-luks-assign auf dem Client

3. Slots mit luksDump überprüfen