如何注册和使用带有privacyIDEA的Yubikey

如何注册并使用具有privacyIDEA的Yubikey

获取privacyIDEA

我们使用最新的0.9.1的privacyIDEA

通过pip或github获取privacyidea服务器:

$ git clone https://github.com/privacyidea/privacyidea.git

在主目录中,您可以使用paster命令简单地启动服务器:

$ python setup.py build
$ paster serve config/privacyidea.ini.example
Starting server in PID 29608.
serving on 0.0.0.0:5001 view at http://127.0.0.1:5001

privacyIDEA为管理用户使用集成身份验证。 管理员帐号位于config / admin-users中。

在git repo中有一个admin(密码:test)和一个admin2(密码:secret)。 您应该删除此文件并创建一个新的管理员:

$ tools/privacyidea-create-pwidresolver-user -u admin -p yourPassword -i 1000 > config/admin-users

现在,您可以使用用户“admin @ admin”和密码“yourPassword”登录到http:// localhost:5001的管理界面。

注册Yubikey

获取隐私权管理客户端。 要注册Yubikey,你需要pyusb和python-yubico模块。

$ git clone https://github.com/privacyidea/privacyidea.git

现在你可以调用命令来注册yubikey。 客户端将组成密钥,将其存储在yubikey上,并将密钥发送到服务器以创建新的令牌:

$ ./privacyideaadm -U http://localhost:5001 --admin=admin@admin -C yubikey_mass_enroll --yubislot=1
Please enter password for 'admin@admin':
Please insert the next yubikey.
Found Yubikey with serial '00508326'

{ u'status': True, u'value': True}

Please insert the next yubikey.^C

在网页管理中,您将看到一个令牌与串行UBOM ...,意思是“Yubikey,誓言模式”。 按Yubikey按钮将发出6位OTP值。 尝试一下!

我的用户在哪里?

将浏览器指向privacyIDEA管理http:// localhost:5001 。 您将看到一个登录表单。 普通用户使用此登录访问自助服务门户,也可由管理员访问令牌管理界面。

使用管理员帐户登录,您创建。 记住要添加一个@admin,所以如果你创建一个使用superruth,你应该登录为superruth @ admin

现在,您创建了第一个Resolver,其实是一种指向用户所在位置的指针。

转到privacyIDEA配置 - > useridresolvers选择“新”,并从/ etc / passwd创建一个“平面文件”解析器

现在你把解析器放到一个领域。 转到privacyIDEA config - >领域 ,创建一个新的领域,输入一个领域名称,然后选择刚创建的解析器。

您可以在“用户视图”选项卡中查看用户。

选择用户并选择令牌。 点击左侧的“分配”按钮。 令牌现在属于用户,您可以输入其他PIN,如“测试”。

一探究竟!

当令牌现在属于用户时,用户现在可以使用该令牌进行身份验证。

重新插入yubikey。

我们将使用Web API来测试身份验证。 在您的浏览器中,您可以致电:

http://localhost:5001/validate/check?user=bin&pass=test......

这将给你以下结果:

{

    "version": "privacyIDEA 0.9",
    "jsonrpc": "2.0",
    "result": {
        "status": true,
        "value": true
    },
    "id": 0

}

“value”:“true”表示验证成功。

作为LinOTP的分支,截至目前,privacyIDEA使用与LinOTP相同的响应相同的API。 也可以使用也可以用于LinOTP的身份验证模块/插件。

如果一切都出错,您应该看看审核标签。

生产

对于高效的使用,您应该使用MySQL或PostgreSQL和Apache或nginx网络服务器而不是Paster的数据库。 这将是下一个howto的一部分。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏