Влизане с PAM#

(Nitrokey FIDO2 - Linux)

Как да настроите влизането#

Имате две възможности: pam_p11 или Poldi.

Решението с pam_p11 е по-трудно за постигане и се основава на S/MIME сертификати. Моля, разгледайте документацията за повече информация.

Poldi 0.4.1 работи безпроблемно с Nitrokey за PAM удостоверяване с RSA ключове (вижте „Отстраняване на проблеми“ за информация относно ECC ключовете). Освен инсталирането на Poldi (например sudo apt-get install libpam-poldi на Ubuntu) са необходими следните стъпки, за да заработи.

Необходимо е вече да имате генерирани ключове в Nitrokey, тъй като ключът за удостоверяване се използва от PAM.

  1. Първо трябва да разберете „Идентификатора на приложението“ на вашия Nitrokey. Можете да използвате gpg --card-status | grep Application, за да разберете кое’е вашето. Изглежда като D00600012401020000000000xxxxxxxx или подобен.

  2. Сега трябва да добавите ред в /etc/poldi/localdb/users, който да съдържа следната информация

    <YourApplicationID> <YourUsername>

    Това може да изглежда като ‚D00600012401020000000000xxxxxx nitrokeyuser‘. Сега изхвърлете публичния ключ от Nitrokey в локалната db на poldi:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Моля, имайте предвид, че трябва да въведете своя идентификационен номер на заявлението в горния ред заедно с този на вашия стик!

След това трябва да конфигурирате PAM. Просто добавете „auth sufficient pam_poldi.so“ към конфигурационните файлове на pam в съответствие с вашите нужди:

  • /etc/pam.d/common-auth за графично влизане на потребители

  • /etc/pam.d/login за влизане в конзолата

  • /etc/pam.d/sudo за sudo удостоверяване

  • /etc/pam.d/gnome-screensaver за обратно влизане от заключен екран,

  • и т.н.

Note

Пам е опасен за игра, така че се уверете, че имате начин за достъп до машината, ако нарушите автентичността напълно. Не забравяйте, че стартирането в спасителен режим от Grub изисква парола за root, така че дръжте под ръка тази парола или компактдиск, който може да чете файловите ви системи.

Тук ще намерите подробни инструкции (на немски език, частично неактуални).

Отстраняване на неизправности#

Ако получите грешка, подобна на ‚ERR 100663414 Invalid ID <SCD>‘, трябва да опитате вместо това

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Моля, имайте предвид, че трябва да въведете своя идентификационен номер на заявлението в горния ред заедно с този на вашия стик!

Ключове ECC#

За съжаление poldi все още не поддържа ECC ключове. Но има пач за ECC ключове, използвани с Nitrokey Start. Това вече е включено в главния клон на хранилището за разработка на poldi и следователно в крайна сметка ще бъде пуснато в по-нова версия. Междувременно единствената възможност е да изградите poldi от изходния код.