Влизане с PAM#

(Nitrokey Start - Linux)

Как да настроите влизането#

Имате две възможности: pam_p11 или PAM Poldi.

Решението с pam_p11 е по-трудно за постигане и се основава на S/MIME сертификати. Моля, разгледайте документацията за повече информация.

PAM Poldi 0.4.1 работи безупречно с Nitrokey за удостоверяване на PAM с ключове RSA (за информация относно ключовете ECC вижте „Отстраняване на проблеми“). Освен инсталирането на Poldi (напр. sudo apt-get install libpam-poldi в Ubuntu) са необходими следните стъпки, за да заработи.

Необходимо е вече да имате генерирани ключове в Nitrokey, тъй като ключът за удостоверяване се използва от PAM.

  1. Най-напред трябва да откриете идентификатора на приложението на вашия Nitrokey. То изглежда като или подобно на D00600012401020000000000xxxxxxxx.

gpg --card-status | grep Application
  1. Сега трябва да добавите ред към /etc/poldi/localdb/users, който да съдържа следната информация <YourApplicationID> <YourUsername>.

    Това може да изглежда като D00600012401020000000000xxxxxxxx nitrokeyuser. Сега изхвърлете публичния ключ от Nitrokey в локалната db на Poldis:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Моля, имайте предвид, че трябва да въведете своя идентификационен номер на приложението в горния ред с този на вашия Nitrokey!

След това трябва да конфигурирате PAM. Просто добавете auth sufficient pam_poldi.so към конфигурационните файлове на PAM в съответствие с вашите нужди:

  • /etc/pam.d/common-auth за графично влизане на потребителя

  • /etc/pam.d/login за влизане в конзолата

  • /etc/pam.d/sudo за sudo удостоверяване

  • /etc/pam.d/gnome-screensaver за влизане обратно от заключен екран

  • и други файлове в /etc/pam.d

Note

С PAM е опасно да се играе, затова се уверете, че имате начин за достъп до машината, ако напълно прекъснете удостоверяването. Не забравяйте, че стартирането в спасителен режим от GRUB изисква парола за root, така че дръжте под ръка тази парола или компактдиск, който може да чете вашите файлови системи.

Тук ще намерите подробни инструкции (на немски език, частично неактуални).

Отстраняване на неизправности#

Ако получите грешка, подобна на ERR 100663414 Invalid ID <SCD>, трябва да опитате вместо това

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Моля, имайте предвид, че трябва да въведете своя идентификационен номер на заявлението в горния ред заедно с този на вашия стик!

Ключове ECC#

За съжаление Poldi все още не поддържа ECC ключове. Но има кръпка за ECC ключове, използвани с Nitrokey Start. Той вече е включен в главния клон на хранилището за разработки на Poldi и следователно в крайна сметка ще бъде пуснат в по-нова версия. Междувременно единствената възможност е да изградите Poldi от изходния код.