Yubikey5初期設定記録
yubikey5初期設定記録
2019年の3月中頃にYubikey 5cを購入した。
さくっと色々なものを便利でセキュアな認証にできるかなと思っていたのだが、結構面倒だし実際全然導入が進んでいないのでそのへんの記録をここに残しておく。
やりたいことは以下。
- ✅各種WebサービスでFIDO2認証を設定する
- ✅ Github
- ❌ Windowログインの認証 (Window Hello連携)
- ❌ LinuxのPAM認証にyubikeyを使ってみる
- ❌ PIV機能を利用してSSH証明やPGP鍵をポータブルに利用できるようにする
FIDO2認証設定
非常に簡単にできた。ネットを漁れば各種サービスの手順がでてくる。
注意点としてこれを書いている時点でFirefoxでは about:config からwebauth:u2f のフラグを立てておかないとFIDO2認証を利用できない。
さらにたとえこのフラグを立てていたとしてもGithubでは鍵の登録が行えないようだった。
Windowsログイン
まだWindows起動する用事がないというのと、ミドルタワーなので持ち歩かない用途でわざわざそこまで必要かという思いがあって食指が動かない。
どこかのタイミングでおためし的にやってみたいお気持ちはある
LinuxでのPAM認証
上手く行けばログインやsudo時のチェックができるっぽい。
が、こちらも今の所優先度が低い。
下のPIV機能の方が優先度が高いので後回し中。
PIV機能による証明書や鍵の登録
なんかうまいことできていない。以下簡易作業ログ。
# 管理用CLIツールとsmart cardリーダーサービスをインストール
$ sudo apt install -y yubico-piv-tool pcscd
# リーダーのデーモンを起動
$ sudo systemctl start pcscd
$ yubico-piv-tool -a status
Failed to connect to reader.
pcscdのようすをみるとなぜか自分のデバイスをYubikey4と認識しているようで、そのせいか接続に失敗している
$ sudo systemctl status pcscd
● pcscd.service - PC/SC Smart Card Daemon
Loaded: loaded (/lib/systemd/system/pcscd.service; indirect; vendor preset: enabled)
Active: inactive (dead) since Sun 2019-03-31 15:52:55 JST; 24s ago
Docs: man:pcscd(8)
Process: 6047 ExecStart=/usr/sbin/pcscd --foreground --auto-exit (code=exited, status=0/SUCCESS)
Main PID: 6047 (code=exited, status=0/SUCCESS)
3月 31 15:51:51 ubuntu systemd[1]: Started PC/SC Smart Card Daemon.
3月 31 15:51:51 ubuntu pcscd[6047]: 00000000 ifdhandler.c:150:CreateChannelByNameOrChannel() failed
3月 31 15:51:51 ubuntu pcscd[6047]: 00000099 readerfactory.c:1106:RFInitializeReader() Open Port 0x200000 Failed (usb:1050/0407:libudev:0:/dev/bus/usb/001/014)
3月 31 15:51:51 ubuntu pcscd[6047]: 00000005 readerfactory.c:376:RFAddReader() Yubico Yubikey 4 OTP+U2F+CCID init failed.
3月 31 15:51:51 ubuntu pcscd[6047]: 00003733 ifdhandler.c:150:CreateChannelByNameOrChannel() failed
もう少し色々調べながら気長にやってみようかと思う
Read other posts