[2023-01-22] Authentification U2F et passerelle SSH

La DSI fournit une passerelle SSH, gw-ssh.cnam.fr pour accéder à des machines internes. Pour pouvoir l'utiliser, la direction du laboratoire ou de l'EPN doit en faire la demande auprès de la DSI en précisant :

  • le nom et prénom du bénéficiaire
  • son identifiant LDAP s'il existe
  • la liste exhaustive (noms ou adresses IP) des équipements auxquels cet utilisateur devra pouvoir accéder

L'authentification se fait par clef SSH et mot de passe LDAP (sinon, un mot de passe sera fourni).

Pour les propriétaires de jetons FIDO U2F, seule la clef SSH est requise (la DSI pourra vous guider dans le choix de jetons FIDO U2F) : avec une clef SSH ainsi protégée dans un jeton U2F, plus besoin de mot de passe.

Documentation d'utilisation : Usage sécurisé de SSH.

La création de la clef SSH protégée par le jeton USB change légèrement puisqu'il faut brancher le jeton avant de créer la clef (adapter nomp et labo) puis préciser un type -sk (pour security key, ecdsa-sk ou ed25519-sk) :

$ ssh-keygen -t ecdsa-sk -O resident -O application=ssh:cnam -O verify-required -C "nomp@labo"
Generating public/private ecdsa-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter PIN for authenticator:
You may need to touch your authenticator (again) to authorize key generation.
Enter file in which to save the key (/home/nomp/.ssh/id_ecdsa_sk):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/nomp/.ssh/id_ecdsa_sk
Your public key has been saved in /home/nomp/.ssh/id_ecdsa_sk.pub
The key fingerprint is:
SHA256:0uHAzPX9VEMlWe+fXVtwt/RCwGJTyO9+A2TcS43tO8g nomp@labo
The key's randomart image is:
+-[ECDSA-SK 256]--+
|        .. +o o==|
|     + . .*....oo|
|      = ...=..+=+|
|       + .  =+=+*|
|      . S  + .o+=|
|       .    o ..O|
|           ....o+|
|            .Eoo |
|             . ..|
+----[SHA256]-----+

NB : il faut une version d'OpenSSH postérieure à 8.3. Sur macOS, il faut installer une version d'OpenSSH intégrant le support FIDO2 (par exemple avec HomeBrew ou avec MacPorts en spécifiant le variant fido2).

Envoyer la clef publique contenue dans le fichier ${HOME}/.ssh/id_ecdsa_sk.pub ou ${HOME}/.ssh/id_ed25519_sk.pub à la DSI.

Retour

Dernière mise à jour : 11 juillet 2024