Vaultwarden in Docker und Yubikey

Joon · 23. Sep 2021

Moin! Ich nutze seit einigen Monaten Vaultwarden bzw. zuvor BitwardenRS. Seit ein paar Tagen habe ich einen YubiKey 5 NFC und würde diesen gerne in Vaultwarden hinterlegen. Leider scheitere dabei - irgendwo ^^

Ich habe mir unter https://upgrade.yubico.com/getapikey/ eine Client-ID und ein Secret Key generiert und das in der Adminoberfläche hinterlegt - wobei ich mir nicht sicher bin, was bei Server hinterlegt werden muss Vielleicht api.yubico.com?

Anschließend habe ich in meinem Benutzerkonto den YubiKey selbst hinterlegen wollen. Dabei bekomme ich jedoch immer die Fehlermeldung "Invalid Yubikey OTP provided".

Wo vermutet ihr das Problem - außer vor dem Bildschirm

?

Grüße
Joon

Anzeige · 23. Sep 2021

Hallo Joon,

Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden in Docker und Yubikey

haydibe · 23. Sep 2021

Ist bei mir schon ein paar Jahre her das ich das eingerichtet habe. Es läuft bei mir seit Jarhen ohne Probleme.
Ich weiß das ich damals irgendwo die Client-Id und den Secret-Key erzeugen musst.

Ich hab das damals als Environment-Variable beim Container angegeben (so wie alles andere auch):
YUBICO_CLIENT_ID: ${BITWARDEN_ENV_YUBICO_CLIENT_ID}
YUBICO_SECRET_KEY: ${BITWARDEN_ENV_YUBICO_SECRET_KEY}

Das Feld Server habe ich nicht angegeben und es in der admin ui auch leer bei mir.

Update: muss man da nicht noch irgendwas mit dem Personalization Tool machen? Ich weiß das ich damals mit einem Tool noch irgendwas gemacht habe u.a. einen HMAC hinterlegt für Keepass Authentizierung (leider hat Bit-/Vaultwarden noch immer keinen weg über pagent ssh Zertifikate bereitzustellen)

Hast Du die letzten beiden Punkte hier gemacht?

https://github.com/dani-garcia/vaultwarden/wiki/Enabling-Yubikey-OTP-authentication schrieb:
In order to generate API keys or use a YubiKey with an OTP server, it must be registered. After configuring your key in the YubiKey Personalization Tool, you can register it with the default servers here.

Joon · 24. Sep 2021

Moin! Ich habe den Server rausgeschmissen und die Client-ID und den Secret-Key nicht nur in der config eingetragen, sondern auch in den Umgebungsvariablen! Das hat geholfen. Vielen Dank!!

kleines "HowTo":
1. Unter https://upgrade.yubico.com/getapikey/ mit einem YubiKey eine Client-ID und ein Secret-Key generieren.
2. in der Config-Datei oder in der Adminoberfläche ID und Key eintragen
3. in den Umgebungsvariablen ID und Key eintragen

Nach Generierung dauert es lt. API-Docu ein paar Minuten, bis ein OPT validiert werden kann. Ggf. erst nach 15 Minuten versuchen einen Hardwareschlüssel im Tresor zu hinterlegen.
Mit dem Personalization Tool von YubiKey musste ich nichts machen. Damit könnte man theoretisch einen eigenen Key oder so generieren, der muss dann aber über eine andere Website von Youbico auf deren Server hochgeladen werden - meine ich.

luddi · 22. Mrz 2022

Joon schrieb:
2. in der Config-Datei oder in der Adminoberfläche ID und Key eintragen

Hierzu habe ich ein Verständnisproblem.

Ich habe bereits selbst bemerkt dass man in der Adminoberfläche die ID und Key eintragen kann.
Nun stelle ich mir aber folgende Frage bzw. Szenario vor....

Die Datenbank wird nicht zwingend von einem User verwendet, sondern lässt mehrere User zu.
Jeder User muss doch in der Lage sein, seine eigene 2 step verification anzulegen ohne dass es ein Admin bedarf oder einer globalen Einstellung.

Wie kann jeder User für sich eine 2-Faktor-Authentifizierung mit einem YubiKey einrichten?
Habe ich etwas übersehen oder missverstanden?

Joon · 22. Mrz 2022

Hallo Luddi,

ich habe leider keinen zweiten YubiKey um dies zu testen.
Ich vermute, dass alle übrigen Benutzer lediglich im Tresor unter "Mein Konto" --> "Zwei-Faktor-Authentifizierung" einen YubiKey hinterlegen können. Die in der Config hinterlegten Daten dienen sicherlich lediglich als "Gegenstelle" für den key.
Hast du einen zweiten Key mit dem du meine Aussage ggf. bestätigen kannst?

haydibe · 22. Mrz 2022

luddi schrieb:
Wie kann jeder User für sich eine 2-Faktor-Authentifizierung mit einem YubiKey einrichten?
Habe ich etwas übersehen oder missverstanden?

Die Frage habe ich mir auch schon immer gestellt. Würde mich wundern, wenn mehr als ein Yubikey eingerichtet werden kann.

Wenn ich mich recht erinnere kann sonst noch Virtuell MFA Device à la Google Authenticator verwenden. Ist zwar nicht die Lösung, aber durchaus eine akzeptable Alternative.