Lưu ý:
Do các cập nhật gần đây trong hệ thống đăng nhập macOS, hướng dẫn này không tương thích với macOS Catalina. Nếu bạn đang sử dụng macOS Catalina, vui lòng tránh sử dụng macOS Logon Tool cho đến khi các vấn đề này được giải quyết.
Vấn đề lỗi xác thực Yubikey với macOS Logon Tool
Sau khi cập nhật macOS, hệ thống có thể tạo lại các tệp cấu hình PAM và screensaver, xóa các mục cho phép macOS Logon Tool hoạt động với phản hồi (challenge-response) của YubiKey.
Giải pháp
Hướng dẫn sau sẽ giúp bạn tạo lại tệp cấu hình và ghép nối YubiKey với mô-đun PAM.
Các bước thực hiện
1. Mở Terminal
- Nhấn tổ hợp phím Command + Space để mở Spotlight.
- Gõ "Terminal" và nhấn Enter.
2. Xóa thư mục .yubico và nội dung bên trong
rrm -Rf ~/.yubico
Lưu ý: Lệnh này sẽ xóa vĩnh viễn thư mục .yubico và tất cả nội dung bên trong. Thư mục này chứa thông tin liên quan đến cấu hình YubiKey của bạn. Hãy chắc chắn bạn đã sao lưu nếu cần thiết.
3. Tạo lại thư mục .yubico
mkdir –m0700 –p ~/.yubico
Giải thích: Lệnh này tạo lại thư mục .yubico với các quyền truy cập phù hợp.
4. Cắm YubiKey và chạy lệnh
ykpamcfg -2
Lưu ý: Chạm vào cảm biến YubiKey nếu đèn LED bắt đầu nhấp nháy (điều này xảy ra khi bạn thiết lập xác thực Challenge-Response yêu cầu "người dùng nhập liệu."). Lặp lại bước này với mỗi YubiKey bạn muốn kích hoạt.
Kiểm tra lỗi: Nếu bạn gặp lỗi "YubiKey Core Error" sau khi chạy lệnh này, hãy đảm bảo "Secure Keyboard Entry" (Nhập bàn phím an toàn) không được bật trong cài đặt Terminal.
5. Sao lưu các tệp cấu hình PAM
sudo cp /etc/pam.d/screensaver /etc/pam.d/screensaver_backup_`date "+%Y-%m-%d_%H:%M"` && sudo cp /etc/pam.d/authorization /etc/pam.d/authorization_backup_`date "+%Y-%m-%d_%H:%M"`
Giải thích: Lệnh này sao lưu các tệp cấu hình screensaver và authorization gốc trước khi thực hiện thay đổi.
6. Thêm thay đổi cần thiết vào tệp screensaver
sudo echo "auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response" >> /etc/pam.d/screensaver
Giải thích: Lệnh này thêm dòng cấu hình cần thiết vào tệp screensaver để kích hoạt xác thực YubiKey.
7. Kiểm tra hoạt động
QUAN TRỌNG: Hãy khóa máy tính và kiểm tra xem bạn có thể mở khóa thành công bằng YubiKey không.
Nếu thành công, bạn có thể tiếp tục.
Nếu thất bại, hãy khởi động lại máy tính để đăng nhập lại.
KHÔNG tiếp tục các bước tiếp theo nếu gặp lỗi ở giai đoạn này. Chỉnh sửa sai tệp authorization có thể khiến bạn bị khóa khỏi máy tính. Trong trường hợp đó, bạn cần khởi động chế độ phục hồi (recovery mode) và chỉnh sửa các tệp để lấy lại quyền truy cập.
8. Thêm thay đổi cần thiết vào tệp authorization (đây là bước tùy chọn)
sudo echo "auth required /usr/local/lib/security/pam_yubico.so mode=challenge-response" >> /etc/pam.d/authorization
Lưu ý: Bước này là tùy chọn và cho phép sử dụng YubiKey cho các tác vụ yêu cầu quyền hạn cao hơn, chẳng hạn như sử dụng sudo. Chỉ thực hiện bước này nếu bạn chắc chắn về những gì mình đang làm.
Những lưu ý khi thực hiện
Hướng dẫn này yêu cầu sử dụng Terminal và các lệnh. Nếu bạn không quen thuộc với Terminal, hãy cân nhắc nhờ người có kinh nghiệm hỗ trợ.
Sao lưu dữ liệu quan trọng của bạn trước khi thực hiện các thay đổi.
