Hướng dẫn sử dụng YubiKey để xác thực đăng nhập macOS

Các thiết bị thuộc dòng Security Key SeriesYubiHSM Series sẽ không hỗ trợ cho việc xác thực đăng nhập macOS này, trong bài viết này chúng tôi sử dụng YubiKey 5 NFC để làm bài hướng dẫn.

Lưu ý: macOS Login Tool của Yubico sẽ ngưng hỗ trợ cho phiên bản macOS Catalina (10.15). Bài viết được thực hiện thành công trên phiên bản macOS Big Sur (11.0.1).

Lưu ý: Chúng tôi khuyến cáo Quý khách nên bật chức năng FileVault trên macOS trong thời gian sử dụng macOS Login Tool vì đã có nhiều trường hợp khi không bật FileVault, sau khi cài đặt macOS Login Tool, khởi động lại Mac sẽ truy cập vào recovery mode và chức năng 2FA bị tắt.

Cài đặt macOS Login Tool

Tải về macOS Login Tool của Yubico và thực hiện cài đặt.

dang-nhap-macos-bang-yubikey-1

Sau khi tải về macOS Login Tool, Quý khách double-click vào file .pkg vừa tải về và tiếp tục click vào Continue -> Install. Trong lúc cài đặt, macOS sẽ yêu cầu nhập password để tiếp tục cài.

Cấu hình Yubikey

Để cấu hình Yubikey, Quý khách cần tải về và cài thêm phần mềm YubiKey Manager của hãng.

dang-nhap-macos-bang-yubikey-2

Việc cài đặt cũng tương tự như các bước cài đặt macOS Login Tool ở trên.

dang-nhap-macos-bang-yubikey-3

Sau khi cài đặt xong Quý khách sẽ thấy được phần mềm YubiKey Manager có logo màu xanh lá như trên hình, Quý khách nhấp vào đó để truy cập vào YubiKey Manager.

Sau khi mở YubiKey Manager, Quý khách cần ghim key của mình vào cổng USB của Mac để phần mềm nhận key.

Sau khi ghim key vào Mac, chọn Applications -> OTP -> Long Touch -> Configure.

dang-nhap-macos-bang-yubikey-4

Tiếp tục chọn Challenge-response và nhấn Next.

dang-nhap-macos-bang-yubikey-5

Nhấp vào Generate để tạo secret key mới và Finish.

Liên kết YubiKey với tài khoản trên macOS

Mở Terminal của macOS lên, ghim key vào cổng USB của Mac và thực hiện câu lệnh sau trên Terminal: ykpamcfg -2

Nếu ở bước trước đó Quý khách có tích vào Require touch, sau khi thực hiện câu lệnh xong Quý khách cần chạm vào key của mình.

Lưu ý: Trong trường hợp Quý khách gặp phải lỗi: File /Users/username/.yubico/challenge-7122584 already exists, refusing to overwrite

Đó là do trước đó Quý khách đã liên kết key cho tài khoản của mình. Nếu Quý khách muốn liên kết lại với một cấu hình key mới, Quý khách cần xoá cấu hình cũ đi. File cấu hình cũ sẽ được lưu tại đường dẫn tương tự như sau: /User/username/.yubico/challenge-14247457 (các số đuôi có thể sẽ không giống chính xác). Sau khi xoá cấu hình này xong, Quý khách chạy lại lệnh ykpamcfg -2

Bật xác thực bằng YubiKey khi login trên macOS

Chạy câu lệnh bên dưới trên phần mềm Terminal của Mac.

echo "auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response" | sudo tee -a /etc/pam.d/screensaver

Sau khi bật xác thực, Quý khách có thể khoá máy tính và thử đăng nhập lại để thấy kết quả.

Gở bỏ macOS Login Tool

Trong trường hợp Quý khách không còn sử dụng key nữa, Quý khách có thể gở bỏ phần mềm bằng cách download script uninstall macOS Login Tool về và chạy lệnh sau trên Terminal:

cd ~/Downloads
sudo bash ./uninstall-maclogintool.sh

Quý khách có thể tham khảo thêm các bài viết hướng dẫn sử dụng YubiKey để xác thực cho các phần mềm khác mà chúng tôi đã viết để bắt đầu bảo mật cho các ứng dụng mà Quý khách đang sử dụng.

Was this article helpful?

Related Articles

Leave A Comment?