Mit FIDO2-Tokens zentral verwaltete Benutzer an einem Linux-System anmelden

Authentifizierungsmethoden, die ohne ein Passwort zur Anmeldung an Linux-Systemen auskommen wurden in den letzten Jahren zu einem heißen Thema. Unterschiedliche Organisationen begannen damit, sicherere Authentifizierungsmethoden vorzuschreiben - darunter Regierungen und regulierte Branchen. FIDO2-Token stellen zusammen mit Smartcards zwei passwortlose Authentifizierungsmethoden dar. Während Smartcards seit geraumer Zeit zur Anmeldung an einem Linux-System zum Einsatz kommen können, sind FIDO2-Tokens bisher primär im Webumfeld zu finden, um dort eine Authentifizierung gegenüber einem Webdienst vorzunehmen. Der System Security Services Daemon (SSSD) unterstützt in der aktuellen Version FIDO2-Tokens, womit nun auch eine Anmeldung von zentral gespeicherten Benutzerkonten an einem Linux-System möglich ist. Im Backend kann hierfür sowohl ein LDAP- als auch FreeIPA-Server oder ein Active-Directory als Identity-System vorhanden sein.