Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste:
mfa:mfasshotp

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
mfa:mfasshotp [2024/04/10 15:29]
techer.charles_educ-valadon-limoges.fr [Configuration du service d'authentification PAM] 		mfa:mfasshotp [2024/04/10 16:49] (Version actuelle)
techer.charles_educ-valadon-limoges.fr
Ligne 43: Ligne 43:
 etudiant@serveur:~$ etudiant@serveur:~$
 </code> </code>
 +
 +===== Configuration du serveur =====
 +Dans un premier temps, il sera nécessaire d’installer les paquets permettant de mettre en œuvre le mécanisme d’OTP nommé OATH  sur le serveur.
 +<code>
 +root@serveur:~# apt install libpam-oath oathtool
 +</code>
 +
 +
 +Définissez un secret sous forme hexadécimal qui sera utilisé par le générateur TOTP/HOTP en lien avec l’utilisateur étudiant et qui sera soumis à la double authentification.
 +
 +
 +<WRAP center round important>
 +**Attention !** Ce secret doit être jalousement gardé, car c’est la clé de voûte servant à la génération des mots de passe à usage unique. S’il est compromis, c’est l’ensemble de l’authentification OTP qui sera impacté.
 +</WRAP>
 +
 +<code>
 +root@serveur:~# KEY=$(openssl rand -hex 20)
 +root@serveur:~# echo "HOTP/T30/6 etudiant - ${KEY}" >> /etc/security/users.oath
 +root@serveur:~# chown root /etc/security/users.oath
 +root@serveur:~# chown 600 /etc/security/users.oath
 +</code>
 +<WRAP center round info>
 +La première commande stocke dans une variable nommée KEY le résultat de la commande openssl permettant de générer 20 caractères hexadécimaux.
 +
 +La deuxième commande ajoute une ligne dans le fichier /etc/security/users.oath contenant « HOTP/T30/6 etudiant - » et le contenu de la variable $(KEY) :
 +  * Au niveau du premier champ, T30 signifie que l’OTP généré aura une durée de validité de 30 secondes (on est donc en présence d’un TOTP du fait de la notion de temps) et qu’il sera composé de 6 chiffres.
 +  * Le deuxième champ fait référence à l’utilisateur. Il y a autant de lignes que d’utilisateurs.
 +  * Le quatrième champ est constitué d’un « - » (tiret) pour l’absence de code PIN.
 +  * Le cinquième champ est constitué des 20 caractères hexadécimaux généré aléatoirement.
 +
 +Si nous étions en présence d’une authentification HOTP la syntaxe serait du type :
 +HOTP user - 12345678909876543210
 +
 +Les deux dernières commandes permettent de définir le super-administrateur root comme propriétaire du fichier /etc/security/users.oath puis d’attribuer les droits de lecture/écriture à ce dernier et aucun droit pour les autres utilisateurs du système.
 +</WRAP>
  
 ===== Génération du QRCode ===== ===== Génération du QRCode =====
Ligne 79: Ligne 114:
  
  
- 
-===== Configuration du serveur ===== 
-Dans un premier temps, il sera nécessaire d’installer les paquets permettant de mettre en œuvre le mécanisme d’OTP nommé OATH  sur le serveur. 
-<code> 
-root@serveur:~# apt install libpam-oath oathtool 
-</code> 
- 
- 
-Définissez un secret sous forme hexadécimal qui sera utilisé par le générateur TOTP/HOTP en lien avec l’utilisateur étudiant et qui sera soumis à la double authentification. 
- 
- 
-<WRAP center round important> 
-**Attention !** Ce secret doit être jalousement gardé, car c’est la clé de voûte servant à la génération des mots de passe à usage unique. S’il est compromis, c’est l’ensemble de l’authentification OTP qui sera impacté. 
-</WRAP> 
- 
-<code> 
-root@serveur:~# KEY=$(openssl rand -hex 20) 
-root@serveur:~# echo "HOTP/T30/6 etudiant - ${KEY}" >> /etc/security/users.oath 
-root@serveur:~# chown root /etc/security/users.oath 
-root@serveur:~# chown 600 /etc/security/users.oath 
-</code> 
-<WRAP center round info> 
-La première commande stocke dans une variable nommée KEY le résultat de la commande openssl permettant de générer 20 caractères hexadécimaux. 
- 
-La deuxième commande ajoute une ligne dans le fichier /etc/security/users.oath contenant « HOTP/T30/6 etudiant - » et le contenu de la variable $(KEY) : 
-  * Au niveau du premier champ, T30 signifie que l’OTP généré aura une durée de validité de 30 secondes (on est donc en présence d’un TOTP du fait de la notion de temps) et qu’il sera composé de 6 chiffres. 
-  * Le deuxième champ fait référence à l’utilisateur. Il y a autant de lignes que d’utilisateurs. 
-  * Le quatrième champ est constitué d’un « - » (tiret) pour l’absence de code PIN. 
-  * Le cinquième champ est constitué des 20 caractères hexadécimaux généré aléatoirement. 
- 
-Si nous étions en présence d’une authentification HOTP la syntaxe serait du type : 
-HOTP user - 12345678909876543210 
- 
-Les deux dernières commandes permettent de définir le super-administrateur root comme propriétaire du fichier /etc/security/users.oath puis d’attribuer les droits de lecture/écriture à ce dernier et aucun droit pour les autres utilisateurs du système. 
-</WRAP> 
  
 ===== Configuration du service d'authentification PAM ===== ===== Configuration du service d'authentification PAM =====
mfa/mfasshotp.txt · Dernière modification: 2024/04/10 16:49 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki