Comment configurer SSH / Putty pour utiliser l'authentification YUBIKEY OPENPGP?
J'aimerais utiliser l'interface OpenPGP de YUBIKEY pour vous authentifier contre mon serveur OpenSSH sur mon ordinateur Windows 10 comme indiqué ici .
J'avais créé les clés selon la documentation .
gpg --card-status Retournerait ce qui suit:
Reader ...........: Yubico Yubikey 4 OTP U2F CCID 0
Application ID ...: BEEFBEEFBEEFBEEFBEEFBEEF99990000
Version ..........: 2.1
Manufacturer .....: Yubico
Serial number ....: 99999999
Name of cardholder: John Doe
Language prefs ...: en
Sex ..............: male
URL of public key : https://example.com/pgp.asc
Login data .......: johndoe
Signature PIN ....: required
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 39
Signature key ....: BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF 0001
created ....: 2017-11-20 00:00:01
Encryption key....: BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF 0002
created ....: 2017-11-20 00:00:02
Authentication key: BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF BEEF 0003
created ....: 2017-11-20 00:00:03
General key info..: pub rsa4096/BEEFBEEFBEEF0001 2017-11-20 John Doe <[email protected]>
sec> rsa4096/BEEFBEEFBEEF0001 created: 2017-11-20 expires: never
Cardnumber:BEEF BEEF9999
ssb> rsa4096/BEEFBEEFBEEF0002 created: 2017-11-20 expires: never
Cardnumber:BEEF BEEF9999
ssb> rsa4096/BEEFBEEFBEEF0003 created: 2017-11-20 expires: never
Cardnumber:BEEF BEEF9999
Maintenant, le Blackhole se lève. Comme mentionné dans la Documentation Showcase , Metty devrait fonctionner Dès la sortie de la boîte. Année droite je pensais mais je l'ai essayé. Bien sûr, cela ne fonctionnera pas car le serveur OpenSSH ne connaît pas la partie publique de la clé d'authentification. Quel surprise.
Cependant, j'ai extrait l'empreinte compatible OpenSSH requise pour mettre dans .ssh/authorized_keys:
gpg --export-ssh-key BEEFBEEFBEEFBEEFBEEFBEEFBEEFBEEFBEEF0003
Le résultat était une empreinte compatible OpenSSH avec le commentaire suivant:
ssh-rsa [...omitted...] openpgp:0xBEEF0003
J'ai réinséré le Yubikey, redémarrez l'agent GPG et réessayez pour vous connecter à mon serveur OpenSSH. Cela n'a pas non plus fonctionné.
Alors j'ai de nouveau Googled et j'ai trouvé un autre tutoriel d'utiliser Yubikey comme authentification SSH .
Je Configuration de la façon dont McQueen Labs recommande cela, mais cela n'a pas non plus fonctionné pour moi.
Là où n'inquiète aucune invite pour la goupille de carte ou des messages d'erreur en dehors de No supported authentication methods available (server sent: publickey).
Cela me fait penser que ce type d'authentification SSH n'est pas effectué par la méthode de lakeykey (que je trouve moins probable) ou que la configuration est manquante.
Ce qui m'amène à ma question: Comment configurer le mastic pour utiliser l'authentification YUBIKEY OPENPGP? Et que configurez le côté serveur.
EDIT: L'interface YUBIKEY OPENPGP fonctionne bien avec GIT COMMIS, etc. Mais je ne suis pas en mesure de l'utiliser pour l'authentification SSH.
Il y a deux façons d'accomplir ceci:
- Utilisation de YUBIKEY pour stocker la clé d'authentification SSH pour authentifier contre les serveurs SSH [.____]
- Cette méthode ne prend en charge que les touches RSA et doit être stockée dans la fente [A] Uthentication
- Cette méthode ne nécessite pas de support PAM SSH Server/client
- Utilisation PUTTY-CAC pour authentification à l'aide d'un CERT PKCS11 [.____]
- Configuration Yubico: PKCS11
- Configuration du putty-CAC: Connexion> SSH> Certificat