第 17 章 在 IdM 环境中启用 passkey 身份验证
Fast IDentity Online 2 (FIDO2)标准基于公钥加密,并添加带有 PIN 或 biometrics 的免密码流的选项。IdM 环境中的 passkey 身份验证使用 libfido2
库支持的 FIDO2 兼容设备。
passkey 验证方法提供额外的安全层,通过包括需要 PIN 或指纹的免密码和多因素身份验证(MFA)来遵守法规标准。它使用特殊的硬件和软件(如 passkey 设备和 passkey 启用)在 Identity Management (IdM)环境中增强安全性,以便在数据保护扮演关键角色的环境中增强安全性。
如果您的系统连接到 IdM 环境的网络,则 passkey 验证方法会自动发出 Kerberos 票据(SSO),为 IdM 用户启用单点登录(SSO)。
您可以使用 passkey 通过图形界面向操作系统进行身份验证。如果您的系统允许您使用 passkey 和密码进行身份验证,则可以通过按键盘上的空格后跟 Enter 键来跳过 passkey 身份验证并 使用密码进行身份验证。如果使用 GNOME 桌面管理器(GDM),您可以按 Enter 来绕过 passkey 身份验证。
请注意,当前 IdM 环境中的 passkey 身份验证不支持 FIDO2 attestation 机制,它允许识别特定的 passkey 设备。
以下流程提供了在 IdM 环境中管理和配置 passkey 身份验证的说明。
17.1. 先决条件
- 您有一个 passkey 设备。
安装
fido2-tools
软件包:# dnf install fido2-tools
为 passkey 设备设置 PIN:
- 将 passkey 设备连接到 USB 端口。
列出连接的 passkey 设备:
# fido2-token -L
按照命令提示,为您的 passkey 设备设置 PIN。
# fido2-token -C passkey_device