17.2. パスキーデバイスの登録
ユーザーはパスキーデバイスを使用して認証を設定できます。パスキーデバイスは、YubiKey 5 NFC などのあらゆる FIDO2 仕様デバイスと互換性があります。この認証方法を設定するには、以下の手順に従ってください。
前提条件
- パスキーデバイスの PIN が設定されている。
IdM ユーザーに対してパスキー認証が有効になっている。
# ipa user-add user01 --first=user --last=01 --user-auth-type=passkey
既存の IdM ユーザーに対しては、上記と同じ
--user-auth-type=passkey
パラメーターを指定したipa user-mod
を使用します。- ユーザーが認証する物理マシンにアクセスできる。
手順
- パスキーデバイスを USB ポートに挿入します。
IdM ユーザーのパスキーを登録します。
# ipa user-add-passkey user01 --register
アプリケーションのプロンプトに従います。
- パスキーデバイスの PIN を入力します。
- デバイスをタッチしてアイデンティティー確認を行います。生体認証デバイスを使用している場合は、必ずデバイスの登録に使用したのと同じ指を使用します。
複数の場所またはデバイスからの認証を可能にするバックアップ手段として、複数のパスキーデバイスを設定することを推奨します。認証中に Kerberos チケットが発行されるようにするために、ユーザーに 12 個を超えるパスキーデバイスを設定することは避けてください。
検証
パスキー認証を使用するように設定したユーザー名でシステムにログインします。パスキーデバイスを挿入するよう求めるプロンプトが表示されます。
Insert your passkey device, then press ENTER.
パスキーデバイスを USB ポートに挿入し、プロンプトが表示されたら PIN を入力します。
Enter PIN: Creating home directory for user01@example.com.
Kerberos チケットが発行されたことを確認します。
$ klist Default principal: user01@IPA.EXAMPLE.COM
パスキー認証をスキップするには、プロンプトに任意の文字を入力するか、ユーザー認証が有効になっている場合は空の PIN を入力します。パスワードベースの認証にリダイレクトされます。