Authentification multifacteur

Revision as of 23:43, 10 March 2023 by Diane27 (talk | contribs) (Created page with "<pre> Host HOSTNAME ControlPath ~/.ssh/cm-%r@%h:%p ControlMaster auto ControlPersist 10m </pre> Remplacez <code>HOSTNAME</code> par le hostname du serveur que vous voulez configurer.")
Other languages:

L’authentification multifacteur permet de protéger votre compte avec plus qu’un simple mot de passe. Une fois que votre compte est configuré pour utiliser cette fonctionnalité, vous devrez entrer votre mot de passe comme d’habitude, mais en plus effectuer une deuxième action (le deuxième facteur), pour avoir accès à la plupart de nos services.

Présentement, les facteurs pour cette deuxième étape d’authentification sont :

  • accepter une notification sur votre appareil intelligent dans l’application Duo Mobile;
  • utiliser un code généré sur demande;
  • presser un bouton sur une clé matérielle (YubiKey).

L’authentification multifacteur sera progressivement déployée pour la plupart de nos services.

Enregistrement des facteurs

Enregistrer plusieurs facteurs

Lorsque vous activez l'authentification multifacteur pour votre compte, nous vous recommandons fortement d’enregistrer au moins deux options pour votre deuxième facteur. Vous pouvez par exemple vous servir de votre téléphone et de codes à usage unique; de votre téléphone et d’une clé YubiKey; ou encore de deux clés YubiKey. De cette façon, si une de ces options ne peut pas être employée, vous aurez un autre facteur pour accéder à votre compte.

Pour utiliser un téléphone ou une tablette

  1. Installez l'application Duo Mobile à partir du Apple Store ou de Google Play.
  2. Connectez-vous à votre compte avec l’Alliance et cliquez sur Mon compte → Gestion de l'authentification multifacteur.
  3. Sous Enregistrer un appareil, cliquez sur Duo Mobile.
  4. Entrez un nom pour identifier votre appareil.
  5. Balayez le code QR qui est affiché.

Pour utiliser une clé YubiKey

Les YubiKey sont des clés matérielles produites par Yubico. Si vous n'avez pas de téléphone intelligent ou de tablette, si vous ne voulez pas employer ces appareils pour l'authentification multifacteur, ou s'il vous est souvent impossible de les utiliser, une clé YubiKey serait votre meilleur choix.

De la taille d’une petite clé USB, les clés YubiKey coûtent entre 50 et 100 dollars. Différents modèles sont compatibles avec les ports USB-A, USB-C et Lightning et certaines permettent la communication en champ proche (NFC) avec un téléphone ou une tablette.

Parmi les protocoles supportés, Yubico OTP (one-time password) est celui qui convient à la connexion SSH supportée par nos grappes. Une fois que votre clé est enregistrée à votre compte comme facteur d'authentification, quand vous tenterez de vous connecter à une de nos grappes, on vous demandera d'entrer un mot de passe à utilisation unique (OTP). Vous appuyez alors sur le bouton de la clé, ce qui génère une chaîne de 32 caractères qui forme un mot de passe à entrer.

Pour enregistrer votre YubiKey, entrez son identifiant public, son identifiant privé et sa clé secrète dans la page Gestion de l'authentification multifacteur. Si ces renseignements ne sont pas disponibles, configurez votre clé comme suit.

Configurer votre YubiKey pour Yubico OTP

  1. Téléchargez et installez YubiKey Manager à partir du site Web de Yubico.
  2. Insérez la clé YubiKey et lancez YubiKey Manager.
  3. Dans YubiKey Manager, cliquez sur Applications puis sur OTP.
  4. Vous pouvez ici configurer la façon de toucher sur le bouton. Par défaut, Short Touch (Slot 1) identifie une touche légère sur le bouton de la clé pour passer mode Yubico Cloud et Long Touch (Slot 2) correspond à une touche plus ferme le bouton de la clé. Cliquez sur Configure sous Slot 1 ou Slot 2, ou sur Swap pour inverser le comportement.
  5. Sélectionnez Yubico OTP.
  6. Sélectionnez Use serial pour générer un identifiant privé et une clé secrète. Faites une copie des deux identifiants et de la clé secrète avant de cliquer sur Finish parce que vous en aurez besoin à la prochaine étape. Gardez cette fenêtre ouverte.
  7. Connectez-vous à la CCDB et cliquez sur Mon compte → Gestion de l'authentification multifacteur pour entrer les données pour votre clé.

Authentification

Pour vous connecter à une grappe via SSH

Si l'authentification multifacteur est activée pour votre compte et que vous vous connectez via SSH à une grappe qui supporte cette fonctionnalité, vous devez d’abord passer la première authentification avec votre mot de passe ou avec votre clé SSH. Ce qui suit sera affiché pour la deuxième authentification :

Question.png
[name@server ~]$ ssh cluster.computecanada.ca
Duo two-factor login for name

Enter a passcode or select one of the following options:

 1. Duo Push to My phone (iOS)

Passcode or option (1-1):

Vous pouvez maintenant indiquer le téléphone ou la tablette qui recevra une notification de la part de Duo. Si vous avez enregistré plusieurs appareils, une liste sera affichée, dans laquelle vous pouvez sélectionner l'appareil de votre choix. Vous n'avez qu'à accepter la notification pour confirmer votre deuxième authentification.

Si vous utilisez une YubiKey ou un code préalablement sauvegardé, ou encore si vous préférez entrer le mot de passe unique valide pour une durée limitée que Duo Mobile affiche, ne sélectionnez pas une option, mais entrez le code, par exemple

Question.png
[name@server ~]$ ssh cluster.computecanada.ca
Duo two-factor login for name

Enter a passcode or select one of the following options:

 1. Duo Push to My phone (iOS)

Passcode or option (1-1):vvcccbhbllnuuebegkkbcfdftndjijlneejilrgiguki
Success. Logging you in...

Configurer votre client SSH client to only ask every so often

Si vous vous connectez avec OpenSSH, vous pouvez configurer votre client SSH pour ne pas avoir à passer une deuxième authentification à tous les coups. Modifiez .ssh/config en ajoutant les lignes suivantes :

Host HOSTNAME
    ControlPath ~/.ssh/cm-%r@%h:%p
    ControlMaster auto
    ControlPersist 10m

Remplacez HOSTNAME par le hostname du serveur que vous voulez configurer.

Pour vous connecter à votre compte

Once multifactor authentication is enabled on your account, you will be required to use it when connecting to our account portal. After entering your username and password, you will see a prompt similar to this, where you click on the option you want to use.

Dépannage

Je n’ai pas de téléphone ou de tablette qui me permettrait de m’authentifier. Comment puis-je utiliser l’authentification multifacteur?

Dans votre cas, la seule option est [/fr#Pour_utiliser_une_clé_YubiKey|d'utiliser une clé YubiKey].

J’ai perdu un appareil que j’utilisais comme deuxième facteur. Que puis-je faire?

  • Si vous avez configuré plusieurs appareils ou si vous avez généré des codes de contournement, utilisez cette autre méthode pour

accéder à votre compte. Dans la liste des appareils enregistrés, supprimez celui que vous avez perdu et enregistrez le nouvel appareil.

  • Si vous n’avez sauvegardé aucun code de contournement et que vous n’avez plus aucun des appareils que vous avez configurés, contactez le soutien technique.