Заблокирован из системы после добавления Yubikey 2FA

Question

Заблокирован из системы после добавления Yubikey 2FA

Я следовал официальному руководству Yubico, чтобы включить Challenge-Response 2FA для моей учетной записи. Однако при перезагрузке логин запрашивает Yubikey, затем запрашивает мой пароль, а затем повторяет эти 2 запроса без конца. Если я переключаюсь на TTY и пытаюсь войти в систему с правами root, я получаю сообщение о сбое аутентификации после того, как он запрашивает как Yubikey, так и мой пароль. Сейчас я просто хочу найти способ отключить 2FA, чтобы я мог диагностировать и устранить проблему в свое собственное время.
У меня вопрос: если я загружусь с live CD и просто закомментирую строку в файле конфигурации PAM, будет ли этого достаточно, чтобы я мог вернуться в свой ноутбук?

2

login password yubikey

Источник

Hamish W 06 авг '18 в 08:18

2 ответа

Решение

В моем случае, если бы я вытащил Yubikey, я мог бы войти, используя обычный пароль. Затем я переместил следующие файлы в /etc/pam.disabled:

      lrwxrwxrwx   1 root root   31 Apr 29 23:40 gdm-smartcard -> /etc/alternatives/gdm-smartcard
-rw-r--r--   1 root root 1.3K Feb 25 11:42 gdm-smartcard-pkcs11-exclusive
-rw-r--r--   1 root root 1.4K Feb 25 11:42 gdm-smartcard-sssd-exclusive
-rw-r--r--   1 root root 1.4K Feb 25 11:42 gdm-smartcard-sssd-or-password

т.е.,

      sudo -i
mkdir /etc/pam.disabled
cd /etc/pam.d
mv *smartcard* ../pam.disabled/

Затем вы можете проверить, подключив Yubikey, заблокировав экран (Super+L или Lock, если он есть на вашей клавиатуре), и вы должны увидеть свой счастливый знакомый пароль вместо приглашения смарт-карты.

Нит: То, что я устанавливаю программное обеспечение для смарт-карт, не означает, что я хочу входить в систему таким образом. Всего несколько версий назад этого не было. Должен быть способ установить драйверы PKCS11, не активируя их для задач PAM.

2

Источник

Chaim Eliyah 01 авг '21 в 23:22

Другие вопросы по тегам login password yubikey

vidarlo 06 авг '18 в 08:54 2018-08-06 08:54 · Accepted Answer · 2018-08-06 08:54

Загрузиться с живого CD.

Смонтируйте вашу корневую файловую систему в каком-то месте и закрепите привязку /dev, /proc а также /sys, Предполагая, что ваша корневая файловая система смонтирована в /mnt в сеансе live следующие команды сделают это:

sudo mount --bind /proc /mnt/proc
sudo mount --bind /dev /mnt/dev
sudo mount --bind /sys /mnt/sys

Затем вы должны выполнить chroot для вашей системы

sudo chroot /mnt

Отредактируйте конфигурацию PAM и закомментируйте соответствующую строку, как вы предложили, - и после сохранения файла запустите pam-auth-update и отключите модуль yubike y.