Bonjour la ML, Quelqu'un a t'il déjà mis en œuvre le système de Yubikey ? J'ai recut une de test mais je galère à faire fonctionner le "yubikey-val-server" (ERR Unknown yubikey).
Cédric
Hello,
Question bête: tu as bien installé le key-storage-manager et enregistré ta Yubikey dedans ?
Le Validation Server est le frontal qui va taper sur le KSM pour valider les key, et stocke l'index pour garantir l'unique utilisation des OTP. Le KSM stocke les infos AES des Yubikey.
Hello, Oui j'ai installé le KSM. C'est l'enregistrement de ma Yubikey qui je penses poses problème. J'ai généré des clef comme dans leur document et pris l'une d'elle pour l'appliquer en configuration 2 de ma Yubikey. Mais il ne semble pas la reconnaitre. J'ai installé le tout sur une CentoS. Cédric
Le 22/07/2010 10:52, Adrien Mahieux a écrit :
Hello,
Question bête: tu as bien installé le key-storage-manager et enregistré ta Yubikey dedans ?
Le Validation Server est le frontal qui va taper sur le KSM pour valider les key, et stocke l'index pour garantir l'unique utilisation des OTP. Le KSM stocke les infos AES des Yubikey.
On va essayer de voir ca directement :
Que te donne un accès direct au fichier decrypt.php du KSM ? avec un "otp" en param: decrypt.php?otp=<UN_OTP>
Un pote qui m'a montré les yubikey m'a indiqué qu'il fallait que l'ID publique devait etre sur 6 bytes. Mais la regex utilisée dans le script semble faire correctement la séparation.
decrypt?otp=dteffujehknhfjbrjnlnldnhcujvddbikngjrtgh ERR Unknown yubikey
Je sais pas si l'on doit continuer sur la ML, si ca intéresse aussi d'autre personne ou direct en privé. Je vais activé les log du Mysql afin de voir s'il interroge au moins la base ! et qu'il va bien chercher les infos Cédric
Le 22/07/2010 11:31, Adrien Mahieux a écrit :
On va essayer de voir ca directement :
Que te donne un accès direct au fichier decrypt.php du KSM ? avec un "otp" en param: decrypt.php?otp=<UN_OTP>
Un pote qui m'a montré les yubikey m'a indiqué qu'il fallait que l'ID publique devait etre sur 6 bytes. Mais la regex utilisée dans le script semble faire correctement la séparation.
Le Thursday 22 July 2010 (11:39), Cédric Polomack écrivait :
decrypt?otp=dteffujehknhfjbrjnlnldnhcujvddbikngjrtgh ERR Unknown yubikey
Je sais pas si l'on doit continuer sur la ML, si ca intéresse aussi d'autre personne ou direct en privé.
A titre personnel :
- je suis intéressé par savoir ce que vous utilisez comme système d'authentification forte en environnement hétérogène (ou au moins linux) car je souhaite en mettre un en place
- pour le problème en cours, un simple CR une fois le problème trouvé devrait suffire.
Le 22 juil. 2010 à 11:49, Pascal PETIT a écrit :
A titre personnel :
je suis intéressé par savoir ce que vous utilisez comme système d'authentification forte en environnement hétérogène (ou au moins linux) car je souhaite en mettre un en place
pour le problème en cours, un simple CR une fois le problème trouvé devrait suffire.
-- Pascal _______________________________________________ FRsaG mailing list FRsaG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Perso j'aime bien OTP pour One Time Password c'est l'implémentation en logiciel libre des token RSA proprios. Tu vas me dire oui mais il nous faut des badges, ces derniers sont remplacés par des applications qui peuvent être sur ton poste, sur un site web ssl, sur ton téléphone (iphone, android et doit y avoir rim et symbian mais j'ai pas regardé).
Le principe reste le même un pin à entrer pour générer l'otp pour ton appli. Après tu connectes tes applis par radius ou autre comme pour les rsa id.
-- Pierre-Henry Muller
2010/7/22 Pierre-Henry Muller wallace@morkitu.org:
Perso j'aime bien OTP pour One Time Password c'est l'implémentation en logiciel libre des token RSA proprios. Tu vas me dire oui mais il nous faut des badges, ces derniers sont remplacés par des applications qui peuvent être sur ton poste, sur un site web ssl, sur ton téléphone (iphone, android et doit y avoir rim et symbian mais j'ai pas regardé).
Le principe reste le même un pin à entrer pour générer l'otp pour ton appli. Après tu connectes tes applis par radius ou autre comme pour les rsa id.
Objectivement, quitte à devoir utiliser les téléphones pour faire de l'authentification forte, autant utiliser une solution comme certificall (pub inside, ancien employeur), qui ne nécessite aucune installation de logiciel, et est compatible avec tous les téléphones, et pas seulement les smartphones. Après, il y a une limitation, c'est qu'il faut qu'un navigateur internet intervienne à un moment dans la transaction d'authentification. SI vous êtes intéressé par l'idée, n'hésitez pas à prendre contact en privé afin que l'on en discute.
Florian MAURY
Pour les plus feignants, je vous indique quand même les avantages (a mes yeux) des yubkey : - Aucun driver a installer. Initialisé en 1.5 seconde, même au boot de la machine (utile pour les boot passwd par exemple). Il s'enregistre comme un simple clavier usb et marche donc sur toutes les machines. - Très solide et fin (une seule pièce de circuit imprimé + plastique soudé autour) - Peut être utilisé comme token pour lock le poste quand il est retiré. - Reconfigurable et contient 2 confs - Dispo a partir de 25e - Plusieurs softs fournis pour l'implémenter sur de nombreuses plateformes.
Mis au trousseau de clef, c'est une garantie pour tous les utilisateurs de ne pas se prendre la tête pour l'admin de réduire le problème pebcak
-
Adrien Mahieux -
Cédric Polomack -
Florian MAURY -
Pascal PETIT -
Pierre-Henry Muller