PAM¶
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
Sådan opretter du login¶
Du har to muligheder: pam_p11 eller PAM Poldi.
Løsningen med pam_p11 er vanskeligere at opnå og er baseret på S/MIME-certifikater. Se venligst dokumentationen for yderligere oplysninger.
PAM Poldi 0.4.1 fungerer uden problemer med Nitrokey til PAM-godkendelse med RSA-nøgler (se Fejlfinding for oplysninger om ECC-nøgler). Udover installationen af Poldi (f.eks. sudo apt-get install libpam-poldi
på Ubuntu) er følgende trin nødvendige for at få det til at virke.
Det er nødvendigt, at nøglerne allerede er genereret på Nitrokey, da autentifikationsnøglen bruges af PAM.
Først skal du finde frem til din Nitrokey’s applikations-id. Det ser ud som eller ligner
D00600012401020000000000xxxxxxxx
.gpg --card-status | grep Application
Nu skal du tilføje en linje til
/etc/poldi/localdb/users
, som indeholder følgende oplysninger<YourApplicationID> <YourUsername>
.Det kunne se ud som
D00600012401020000000000xxxxxxxx nitrokeyuser
. Nu dumpes den offentlige nøgle fra Nitrokey til Poldis‹ lokale database:sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Du skal være opmærksom på, at du skal indsætte dit ansøgnings-id i linjen ovenfor sammen med din Nitrokey!
Derefter skal du konfigurere PAM. Du skal blot tilføje
auth sufficient pam_poldi.so
til PAM-konfigurationsfilerne i overensstemmelse med dine behov:/etc/pam.d/common-auth
til grafisk brugerlogin/etc/pam.d/login
til konsollogin/etc/pam.d/sudo
for sudo godkendelse/etc/pam.d/gnome-screensaver
for at logge ind igen fra en låst skærmog andre filer i
/etc/pam.d
Bemærk
Det er farligt at lege med PAM, så sørg for at have en måde at få adgang til maskinen på, hvis du bryder godkendelsen helt. Husk, at opstart i rescue mode fra GRUB kræver en root-adgangskode, så hav den eller en live-cd, der kan læse dine filsystemer, ved hånden.
Her finder du ` yderligere instruktioner <https://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`__ (på tysk, delvist forældet).
Fejlfinding¶
Hvis du får en fejl, der ligner ERR 100663414 Invalid ID <SCD>
, bør du i stedet prøve
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Vær opmærksom på, at du skal indsætte dit ansøgnings-ID i linjen ovenfor sammen med dit stick-ID!
ECC-nøgler¶
Desværre har Poldi endnu ingen understøttelse af ECC-nøgler. Men der findes en patch til ECC-nøgler, der bruges med Nitrokey Start. Denne er allerede inkluderet i mastergrenen af Poldi-udviklingsrepositoriet og vil derfor blive frigivet i en nyere version med tiden. I mellemtiden er den eneste mulighed at bygge Poldi fra kildekoden.