So jetzt hab ich es (Dank eines Beitras in LinuxUser 10.2012) geschafft. Der Login mittels Yubikey funktioniert.

 

Ich hab den SSH Login abgesichert und so wird's gemacht:

 

installieren von libpam-yubico
da das in den repositories von squeeze fehlt, hab ich kurzerhand in der /etc/apt/sources.list folgendes eingetragen:

 

deb http://ftp.uni-bayreuth.de/linux/Debian/debian/ wheezy main contrib non-free

 

ein sudo apt-get update und sudo apt-get install libpam-yubico erledigt den Rest - dann hab ich das repository wieder auskommentiert! - ist sicherlich nicht der perfekte Weg, aber es hat so funktioniert.

 

jetzt muss der SSH Dämon angepasst werden:
dazu muss als Erstes sichergestellt werden, dass in der /etc/ssh/sshd_config die Zeilen

 

UsePAM yes
ChallengeResponseAuthentication no

 

dadurch wird die Authentifizierung über PAM gemacht

 

jetzt noch das PAM-Modul für SSH anpassen:

 

nano /etc/pam.d/sshd

 

auskommentieren von @include common-account

 

direkt darunter foglende Zeilen hinzufügen:

 

auth required pam_yubico.so id=16

 

auth required pam_unix.so nullock_secure try_first_pass

 

 

 

die id=16 bedeutet, dass der Key im Auslieferzustand ist

 

so jetzt noch die Rechte anpassen:

 

chmod 600 /etc/pam.d/ssh

 

 

 

jetzt gibt es 2 unterschiedliche Wege; entweder die Yubikey Informationen liegen im Homeverzeichnis, oder gesammelt von allen Usern im xxxx (todo)

 

1.Variante Yubikey Info im Home Verzeichnis

 

erstellen von Unterverzeichnis .yubico

 

cd ~

 

mkdir .yubico

 

cd ~/.yubico

 

nano authorized_yubikeys

 

hier trage ich die ersten12 Stellen meines Keys hinter meinem UserNamen ein

 

username:xxxyyyxxxyyy

 

 

 

der erste Test:

 

eine ssh Verbindung zumj Rechner aufbauen, gefragt nach user den eben verwendeten username angeben und dann bei passwort  zuerst den Fixteil (= altes passwort) und dann den yubikey drücken und ein OTP generieren lassen. Das automatisch hinzugefügte CR schliesste den Vorgang ab und die Anmeldung sollte glücken.

 

 

 

und Variante 2:

 

http://code.google.com/p/yubico-pam/wiki/YubikeyAndSSHViaPAM

 

Administrativ Level

 

/root/.yubico/authorized_yubikeys
user1:xxxyyyxxxy1y:xxxyyyxxxy2y:xxxyyyxxxy3y:.....
user2:xxxyyyxxxyyy:xxxyyyxxxyyy

 

alle keys anführen

 

chmod 600 /root/.yubico/authorized_yubikeys

edit /etc/pam.d/sshd
suche @include common-account
diese Zeile auskommentieren und direkt darunter
auth required pam_yubico.so id=16 debug authfile=/root/.yubico/authorized_yubikeys
auth required pam_unix.so nullok_secure try_first_pass

 

 

 

 

 

Das sind alle alten Infos

 

 

 

Das hier ist noch keine Lösung, sondern einfach der Weg, den ich gerade versuche

 

 

 

als 1. installieren von benötigten:

 

 

 

apt-get update
apt-get upgrade
apt-get install build-essential autoconf automake libtool libpam-dev subversion libcurl4-gnutls-dev git-core

 

 

 

ich hole mir von

 

http://code.google.com/p/yubico-c/die aktuelleste Version von libyubikey

 

 

 

cd ~

 

mkdir yubikey

 

cd yubikey

 

wget http://yubico-c.googlecode.com/files/libyubikey-1.7.tar.gz

 

tar -xvzf libyubikey-1.7.tar.gz

 

cd libyubikey-1.7

 

./configure

 

make

 

make check

 

make install

 

cd ..

 

 

 

git clone git://github.com/Yubico/yubico-c-client.git

 

cd yubico-c-client

 

autoreconf --install

 

./configure

 

make

 

make check

 

make install

 

cd ..

 

git clone git://github.com/Yubico/yubico-pam.git

 

cd yubico-pam

 

autoreconf --install

 

./configure

 

make clean

 

make check install

 

cd ..

 

 

 

bringt nix

 

 

 

Link für ermitteln der Client ID:

 

http://code.google.com/p/yubico-c-client/wiki/ReadMe