我尝试在 Fedora 36 中使用 FIDO2 (YubiKey 5) 在系统启动时解锁 LUKS 卷,但没有成功,因为它不断要求提供常规 LUKS 密码,而不使用令牌来解锁 LUKS 卷。
我按照Lennart Poettering在他的博客上的示例,systemd-cryptenroll注册了 YubiKey,然后/etc/crypttab使用适当的配置修改了文件。cryptsetup luksDump显示令牌已添加到 LUKS 标头中。然而,在系统启动时,会显示 Plymouth 启动屏幕,提示输入常规 LUKS 密码来解锁卷。
我认为 Plymouth 可能不会显示输入 FIDO2 PIN 的提示,因此我删除并重新添加了 LUKS 键槽和带有额外参数的令牌,以便不需要用户存在或 PIN:
systemd-cryptenroll --fido2-device=auto --fido2-with-user-verification=false --fido2-with-client-pin=false /dev/sda3
这仍然不起作用,并且仍然提示输入 LUKS 密码。
Fedora 36 正在运行 systemd 版本 250。
知道为什么 FIDO2 无法解锁 LUKS 卷吗?