Login med PAM#

(Nitrokey Pro 2 - Linux)

Sådan opretter du login#

Du har to muligheder: Du kan vælge mellem pam_p11 eller Poldi.

Løsningen med pam_p11 er vanskeligere at opnå og er baseret på S/MIME-certifikater. Se venligst dokumentationen for at få flere oplysninger.

Poldi 0.4.1 fungerer uden problemer med Nitrokey til PAM-godkendelse med RSA-nøgler (se Fejlfinding for oplysninger om ECC-nøgler). Udover installationen af poldi (f.eks. sudo apt-get install libpam-poldi på Ubuntu) er følgende trin nødvendige for at få det til at virke.

Det er nødvendigt, at nøglerne allerede er genereret på Nitrokey, da autentifikationsnøglen bruges af PAM.

  1. Først skal du finde ud af din Nitrokey’s »Application ID«. Du kan bruge gpg --card-status | grep Application til at finde ud af, hvad der er din. Det ligner D00600012401020000000000xxxxxxxx eller noget lignende.

  2. Nu skal du tilføje en linje til /etc/poldi/localdb/users, som indeholder følgende oplysninger

    <YourApplicationID> <YourUsername>

    Det kunne se ud som ›D006000124010200200000000000000xxxxxxxxxxxx nitrokeyuser‹. Nu dumpes den offentlige nøgle fra Nitrokey til poldi local db:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Vær opmærksom på, at du skal indsætte dit ansøgnings-ID i linjen ovenfor sammen med dit stick-ID!

Derefter skal du konfigurere PAM. Du skal blot tilføje »auth sufficient pam_poldi.so« til pam-konfigurationsfilerne i overensstemmelse med dine behov:

  • /etc/pam.d/common-auth for grafisk brugerlogin

  • /etc/pam.d/login til konsollogin

  • /etc/pam.d/sudo til sudo autentificering

  • /etc/pam.d/gnome-screensaver til at logge tilbage fra en låst skærm,

  • osv.

Bemærk

Pam er farligt at lege med, så sørg for at have en måde at få adgang til maskinen på, hvis du bryder autentificeringen helt. Husk, at opstart i rescue mode fra Grub kræver en root-adgangskode, så hav den eller en live-cd, der kan læse dine filsystemer, ved hånden.

Her finder du ` yderligere instruktioner <http://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`_ (på tysk, delvist forældet).

Fejlfinding#

Hvis du får en fejl, der ligner ›ERR 100663414 Invalid ID <SCD>‹ bør du i stedet prøve

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Vær opmærksom på, at du skal indsætte dit ansøgnings-ID i linjen ovenfor sammen med dit stick-ID!

ECC-nøgler#

Desværre har poldi endnu ingen understøttelse af ECC-nøgler. Men der findes en patch til ECC-nøgler, der bruges med Nitrokey Start. Denne er allerede inkluderet i mastergrenen i poldi-udviklingsrepositoriet og vil derfor blive frigivet i en nyere version med tiden. I mellemtiden er den eneste mulighed at bygge poldi fra kildekoden.