cesnet.yubikeys

Przegląd Wersje Wgląd

cesnet.yubikeys

Rola Ansible Galaxy cesnet.yubikeys, która umożliwia skonfigurowanie uwierzytelniania dwuetapowego dla sudo przy użyciu sprzętowych tokenów USB Yubikey.

Dodaje moduł PAM dla sudo, który łączy się z serwerami Yubico w celu weryfikacji wprowadzonego jednorazowego kodu.

Użyj "--tags config", aby uruchomić tylko konfigurację.

Wymagania

Zmienne Roli

  • yubikey_id i yubikey_key - unikalne wartości uzyskane z https://upgrade.yubico.com/getapikey/
  • yubikey_users - przypisanie nazw logowania do skrótów zawierających imię, kod yubikey i klucz ssh, zobacz przykład poniżej
  • yubikey_lognames - lista nazw logowania do użycia z hasha yubikey_users, domyślnie pusta
  • sudo_root_lognames - lista nazw logowania, które mogą uzyskać uprawnienia sudo do roota, domyślnie pusta
  • other_sudo_user - inna nazwa logowania niż root, do której wybrani użytkownicy mogą uzyskać dostęp przez sudo, domyślnie "perun"
  • sudo_other_lognames - lista nazw logowania, które mogą uzyskać dostęp przez sudo do innego użytkownika zdefiniowanego przez other_sudo_user

Przykład Playbooka

W poniższym przykładzie zdefiniowano 4 użytkowników, ale tylko 3 z nich zostaną utworzone. Użytkownicy tesla i einstein będą mogli uzyskać uprawnienia sudo do roota, a użytkownik volta będzie mógł uzyskać dostęp przez sudo do użytkownika cthulhu.

- hosts: all
  roles:
    - role: cesnet.yubikeys
      vars:
        yubikey_id: "48695"
        yubikey_key: "jGAqANjXDwthsKp0dnboFGmZ5ag="
        yubikey_lognames: [ 'tesla', 'einstein', 'volta' ]
        # lista nazw logowania, które mogą uzyskać dostęp przez sudo do roota
        sudo_root_lognames: "{{ yubikey_lognames }}"
        # inna nazwa logowania niż root, do której wybrani użytkownicy mogą uzyskać dostęp przez sudo
        other_sudo_user: "cthulhu"
        # lista nazw logowania, które mogą uzyskać dostęp przez sudo do innego użytkownika zdefiniowanego przez other_sudo_user
        sudo_other_lognames: ['volta' ]
        
        # lista użytkowników
        ## logname - nazwa logowania w systemie unix
        ## name - pełne imię, które zostanie umieszczone w /etc/passwd
        ## yubikeys - lista id yubikey (pierwsze 12 znaków dowolnego kodu wygenerowanego przez yubikey użytkownika, zostanie umieszczone w /etc/yubico/authorized_yubikeys)
        ## sshkeys - lista publicznych części kluczy ssh, które zostaną umieszczone w $HOME/.ssh/authorized_keys
        yubikey_users:
          tesla:
            name: Nikola Tesla
            yubikeys: 
              - ccccccefghij
            sshkeys: 
              - ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDe9Rb2N5aq5qYAi8OCeQKlpOBJi/Ll2tlxqiD7Gan7wJrFBbrZIj8a5tOpHKTm61ldihxG7hnXkyEvbAX5vx/6lLagKaLFL3ysh3iH3ZxiXFYXfLklqrrCK2kuwdCIasMF4kJYzS/goLEGeqBkeJN8SvTj2THvzWcvsTZXIgXygzqiiSKlJao2v62EZv3Pi0eP8KhLrdYW2EcePBOKclLGYxdAX0k9KMJHJRecQhS2BtDLDL1rGoCCrw3Pd8689xovzYKC/ATnTZ89slA9HlrKyQjkjVeBX7WbRsjrgYKEDeqWZbdzjT9Nhg/Ftewbqh2V6p8OFQTftKUOmmPXlwAr
          einstein:
            name: Albert Einstein
            yubikeys: 
              - ccccccghijkl
            sshkeys: 
              - ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDQiusTXxPGdXXzhHyU9wEb1i5PAdN/qBX8lVw90/yZo6LKBl+fO2QuRTQUxxRgk05puXYwWMF4IheoVBmWFzwClyH/Ox88Yq+WM4nGxIpzvoyUZQ0rRM7a0LfaLvDsJpkoMOr53LFfQtdTY7ZiKXsaTI1EmhHXVmfgFXDTu4IE2EBGUrKPj28+yD/5UuyybA/TfZJ6wW51M0QAaQy3n2xWY+K+aFfTJv2vQin2cIjIPMWfUoUCR2eYNbtZ/uHwXgJxK1W3PeeJhLjW8RXdfLiSOA3+8X5NCHGBs5BLdvieQjB0SYb0NqCc7scAlJV14MGlWdBYuczV2gvn2mnT4q3F
          volta:
            name: Alessandro Volta
            yubikeys: 
              - ccccccfghijk
            sshkeys: 
              - ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnkDzzBfCAgjxv4lZKZ744lPiIRbGhfnQFbSEmeU7ZlRn5zPK2r7Ur+T7I89YHly1nEVPoQ0O8elA7eDaHZ2jIUyYXbzVrYr+7dNSvoO+tqXoG1r5VuZM8jv9m55IFClV0NONqbrgDLRl771ZVqdMah10xPA9X5hv5O17LlDYWyP0j5tJ6M1Ua3t1oI+Gsx28xicJYuLSA5ixpb0b5vftlSvdz7OCC1ojKdTESV3dGifgmJ+B4OZu3ha/Ti6K+pIOYHNtg/yriI6AZNZyLG/L/x5EtE28XRBOr2auXuIlBwK1IWI9MtoSB6L8WjhHl+7WPQej50eL9keK22diIJen9
          gauss:
            name: Carl Friedrich Gauss
            yubikeys: 
              - cccccclkjihg
            sshkeys: 
              - ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDgdleNFp+4o849ZNts1cluRtE8VPJCDgo9dllcScw/z3alhhmxXT8oQWG0XXzx3r0rfzfDIC0Lqw5xPEsX8yDLl4SeQzHyHycwM5773IBuN5EYrul+34aGHHawqFIksKpbS3ADMwHEd25tzHr1SzAX2vLt3a6RqFhfaW6YnVcMU3ZFOZGfyLmsFjCsIJ2XsIVhzhX8s13vy2jwC2uQ+rTzMMtIgXkx/UQ1mjr9dj/XtDNT3bPwvjVd7/N0BT6PL0H4hNH4jBAby9mRYGfON/LNTLyrUD280w4A5Zu1JGPl+VBxMjN83m1l5k9i5w6vDLU/7TRzAXATINlLIYwWH+1J

W poniższym przykładzie moduł PAM jest zainstalowany, ale żaden użytkownik nie jest tworzony. Użyj tego, jeśli użytkownicy są zarządzani przez Perun. 

- hosts: all
  roles:
    - role: cesnet.yubikeys
      vars:
        yubikey_id: "48695"
        yubikey_key: "jGAqANjXDwthsKp0dnboFGmZ5ag="
O projekcie

Managing access to root by yubikeys.

role security yubikeys
Zainstaluj
ansible-galaxy install cesnet.yubikeys
GitHub repozytorium
2 gwiazdki
0 forki
0 otwarte zgłoszenia
Licencja
bsd-2-clause
Pobrania
123
Właściciel
CESNET
Czech Educational and Research Network