17.2. 注册 passkey 设备
作为用户,您可以使用 passkey 设备配置身份验证。passkey 设备与任何 FIDO2 规范设备兼容,如 YubiKey 5 NFC。要配置此验证方法,请按照以下说明操作。
先决条件
- passkey 设备的 PIN 已设置。
为 IdM 用户启用了 Passkey 身份验证:
# ipa user-add user01 --first=user --last=01 --user-auth-type=passkey
对现有 IdM 用户使用
ipa user-mod
和同样的--user-auth-type=passkey
参数。- 访问用户要进行身份验证的物理机器。
流程
- 在 USB 端口中插入 passkey 设备。
为 IdM 用户注册 passkey:
# ipa user-add-passkey user01 --register
按照应用程序提示操作:
- 输入 passkey 设备的 PIN。
- 触摸设备以验证您的身份。如果您使用生物识别设备,请确保使用与注册设备时相同的手指。
对于用户来说,一个很好的实践是将多个 passkey 设备配置为一个备份,允许从多个位置或设备进行身份验证。要确保 Kerberos 票据在身份验证过程中发布,请不要为用户配置超过 12 个 passkey 设备。
验证
使用您配置为使用 passkey 身份验证的用户名登录到系统。系统提示您插入 passkey 设备:
Insert your passkey device, then press ENTER.
将 passkey 设备插入到 USB 端口,并在提示时输入您的 PIN:
Enter PIN: Creating home directory for user01@example.com.
确认 Kerberos 票据是否已发布:
$ klist Default principal: user01@IPA.EXAMPLE.COM
请注意,要跳过 passkey 身份验证,请在提示符中输入任意字符,或者如果启用了用户身份验证,输入一个空 PIN。系统将您重定向到基于密码的身份验证。