Ich habe meine Tests zum Yubikey nochmals intensiviert und einige neue Informationen gewonnen...
Also erstmal mit zittrigen Fingern versuchen, ob das Teil gebrickt ist - nein, Root-Shell öffnen funktioniert wie gehabt - puuh!
Dann das Teil an Windows angestöpselt Konfiguration schreiben - funktioniert! Hmmm... Wieder zurück zu Linux - anderen USB-Port probieren - geht nicht, ebensowenig wie der Versuch, das Ganze als root zu probieren. Die Sorgenfalten werden tiefer... Schließlich die Erleuchtung: beim initialen Konfigurieren habe ich nicht die GUI aus dem Repository genommen, sondern mir selbst eine übersetzt! Damit funktionierte es dann auch.
Fazit: Wenn man eine Variante hat, die mit dem Key funktioniert - gut aufheben!!
Ich habe in diesem Test auch nur das lokale Login geprüft - das über AD konnte und wollte ich nicht checken - schließlich betreibe ich zu Hause keinen Windows Server, sondern habe nur einen Reserve-Rechner stehen, falls mich mal die Lust auf überkommt oder ich eine neue Version Inkscape bauen will...
Fazit ist auf jeden Fall: Konfiguration ist kinderleicht, die Funktion ist tadellos - man sollte sich aber vorher Gedanken darüber machen, dass man gegebenenfalls einen Yubi nachkaufen muss, falls der benutzte verlorengeht. Alle Daten zur Wiederherstellung eines identischen Schlüssels müssen außerhalb des geschützten Rechners verwahrt werden.
Die Alternative ist, ein weiteres Administratorkonto ohne Yubi einzurichten, das mir Zugriff auch dann gewährt, wenn der Yubi verlorengeht. Aber dannbrauche ich auch keine Mehrfaktor-Authentifizierung...
Und dann ist es natürlich eine feine Sache, wenn man den Schlüssel beim Verlassen des Schreibtisches an sich nimmt und dadurch die Arbeitsstation sperrt.
Noch eine interessante Facette ist, dass man in diesem Artikel auch Informationen dazu findet, wie man die Konsolen ebenfalls sperrt und beendet - das ist etwas, das ich noch ausprobieren muss...
Ich habe im Zuge der Arbeiten auch gleich meinen Laptop auf den U2F-K5 umgestellt, was problemlos möglich war und ebenfalls die Gelegenheit gibt, Aktionen über udev anzustoßen, wenn das Gerät entfernt wird.
13.10.2018
Ich hatte hier ja schon verschiedentlich über Möglichkeiten des Einsatzes meines Yubi-Key berichtet - nun kam noch eine hinzu...
Ticketsysteme sind lebende Wesen
29.03.2020
Hier zunächst wieder eine Triggerwarnung: Dieser Artikel wird meine Meinung abbilden. es kann sein, dass sie dem einen oder anderen nicht gefällt - das ist mir aber egal. Und wenn hier irgendwelche Schneeflocken mitlesen, dann sind die selber schuld.
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Ich berichtete hier bereits über Experimente mit dem Clifford-Attractor, allerdings war ich noch Experimente unter geringfügig geänderten Parametern schuldig...
WeiterlesenEs wurde wieder einmal Zeit für ein neues Feature in meinem Static Site Generator mittels dessen ich ja auch meine Heimatseite im Zwischennetz gestalte und verwalte...
WeiterlesenEs kamen mehrere Faktoren zusammen: die Tatsache, dass ich nicht mehr ganz so kürzlich die 50 überschritten habe hatte ebenso darauf Einfluss wie das heutige trübe Wetter und auch der Fakt, dass ich bereits beinahe alle Wochenendpflichten erledigt habe. Der letzte Stein des Anstoßes war dann aber, dass sich heute zum 125. Mal der Geburtstag von Erich Fromm jährt.
WeiterlesenManche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.