17.2. passkey 장치 등록
사용자는 패스키 장치를 사용하여 인증을 구성할 수 있습니다. 패스키 장치는 YubiKey 5 Cryostat와 같은 모든 FIDO2 사양 장치와 호환됩니다. 이 인증 방법을 구성하려면 다음 지침을 따르십시오.
사전 요구 사항
- passkey 장치의 PIN이 설정되어 있습니다.
IdM 사용자에 대해 Passkey 인증이 활성화됩니다.
# ipa user-add user01 --first=user --last=01 --user-auth-type=passkey
기존 IdM 사용자에 대해 동일한
--user-auth-type=passkey매개변수를 사용하여ipa user-mod를 사용합니다.- 사용자가 인증하려는 실제 시스템에 액세스합니다.
절차
- USB 포트에 패스키 장치를 삽입합니다.
IdM 사용자의 패스 키를 등록합니다.
# ipa user-add-passkey user01 --register애플리케이션 프롬프트를 따릅니다.
- passkey 장치의 PIN을 입력합니다.
- 장치를 눌러 ID를 확인합니다. 생체 인식 장치를 사용하는 경우 장치를 등록한 것과 동일한 지문을 사용해야 합니다.
사용자가 여러 위치 또는 장치의 인증을 허용하는 백업으로 여러 패스키 장치를 구성하는 것이 좋습니다. 인증 중에 Kerberos 티켓이 발행되도록 하려면 사용자를 위해 12개 이상의 패스키 장치를 구성하지 마십시오.
검증
passkey 인증을 사용하도록 구성한 사용자 이름으로 시스템에 로그인합니다. 시스템에서 passkey 장치를 삽입하라는 메시지가 표시됩니다.
Insert your passkey device, then press ENTER.
USB 포트에 패스키 장치를 삽입하고 메시지가 표시되면 PIN을 입력합니다.
Enter PIN: Creating home directory for user01@example.com.Kerberos 티켓이 발행되었는지 확인합니다.
$ klist Default principal: user01@IPA.EXAMPLE.COM
패스키 인증을 건너뛰려면 프롬프트에 문자를 입력하거나 사용자 인증이 활성화된 경우 빈 PIN을 입력합니다. 시스템이 암호 기반 인증으로 리디렉션됩니다.
