Login med PAM#

(Nitrokey Storage 2 - Linux)

Sådan opretter du login#

Du har to muligheder: pam_p11 eller PAM Poldi.

Løsningen med pam_p11 er vanskeligere at opnå og er baseret på S/MIME-certifikater. Se venligst dokumentationen for yderligere oplysninger.

PAM Poldi 0.4.1 fungerer uden problemer med Nitrokey til PAM-godkendelse med RSA-nøgler (se Fejlfinding for oplysninger om ECC-nøgler). Udover installationen af Poldi (f.eks. sudo apt-get install libpam-poldi på Ubuntu) er følgende trin nødvendige for at få det til at virke.

Det er nødvendigt, at nøglerne allerede er genereret på Nitrokey, da autentifikationsnøglen bruges af PAM.

  1. Først skal du finde frem til din Nitrokey’s applikations-id. Det ser ud som eller ligner D00600012401020000000000xxxxxxxx.

gpg --card-status | grep Application
  1. Nu skal du tilføje en linje til /etc/poldi/localdb/users, som indeholder følgende oplysninger <YourApplicationID> <YourUsername>.

    Det kunne se ud som D00600012401020000000000xxxxxxxx nitrokeyuser. Nu dumpes den offentlige nøgle fra Nitrokey til Poldis‹ lokale database:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Du skal være opmærksom på, at du skal indsætte dit ansøgnings-id i linjen ovenfor sammen med din Nitrokey!

Derefter skal du konfigurere PAM. Du skal blot tilføje auth sufficient pam_poldi.so til PAM-konfigurationsfilerne i overensstemmelse med dine behov:

  • /etc/pam.d/common-auth til grafisk brugerlogin

  • /etc/pam.d/login til konsollogin

  • /etc/pam.d/sudo for sudo godkendelse

  • /etc/pam.d/gnome-screensaver for at logge ind igen fra en låst skærm

  • og andre filer i /etc/pam.d

Bemærk

Det er farligt at lege med PAM, så sørg for at have en måde at få adgang til maskinen på, hvis du bryder godkendelsen helt. Husk, at opstart i rescue mode fra GRUB kræver en root-adgangskode, så hav den eller en live-cd, der kan læse dine filsystemer, ved hånden.

Her finder du ` yderligere instruktioner <https://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`__ (på tysk, delvist forældet).

Fejlfinding#

Hvis du får en fejl, der ligner ERR 100663414 Invalid ID <SCD>, bør du i stedet prøve

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Vær opmærksom på, at du skal indsætte dit ansøgnings-ID i linjen ovenfor sammen med dit stick-ID!

ECC-nøgler#

Desværre har Poldi endnu ingen understøttelse af ECC-nøgler. Men der findes en patch til ECC-nøgler, der bruges med Nitrokey Start. Denne er allerede inkluderet i mastergrenen af Poldi-udviklingsrepositoriet og vil derfor blive frigivet i en nyere version med tiden. I mellemtiden er den eneste mulighed at bygge Poldi fra kildekoden.