Iniciar sesión con PAM#

Cómo configurar el inicio de sesión#

Tiene dos opciones: pam_p11 o PAM Poldi.

La solución con pam_p11 es más difícil de conseguir y se basa en certificados S/MIME. Por favor, eche un vistazo a la documentación para más información.

PAM Poldi 0.4.1 funciona a la perfección con Nitrokey para la autenticación PAM con claves RSA (véase Solución de problemas para obtener información sobre las claves ECC). Además de la instalación de Poldi (por ejemplo sudo apt-get install libpam-poldi en Ubuntu) son necesarios los siguientes pasos para que funcione.

Es necesario tener ya las claves generadas en el Nitrokey, ya que la clave de autenticación es utilizada por PAM.

  1. En primer lugar usted necesita para averiguar el ID de aplicación de su Nitrokey. Se parece o es similar a D00600012401020000000000xxxxxxxx.

gpg --card-status | grep Application

  1. Ahora tiene que añadir una línea a /etc/poldi/localdb/users que contenga la siguiente información <YourApplicationID> <YourUsername>.

    Esto podría parecerse a D00600012401020000000000xxxxxxxx nitrokeyuser. Ahora volcar la clave pública de la Nitrokey en Poldis db local:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

¡Por favor, ten en cuenta que tienes que insertar tu ID de Solicitud en la línea de arriba con el de tu Nitrokey!

A continuación, tiene que configurar PAM. Sólo tiene que añadir auth sufficient pam_poldi.so a los archivos de configuración de PAM de acuerdo a sus necesidades:

  • /etc/pam.d/common-auth para el inicio de sesión gráfico del usuario

  • /etc/pam.d/login para acceder a la consola

  • /etc/pam.d/sudo para la autenticación sudo

  • /etc/pam.d/gnome-screensaver para volver a entrar desde una pantalla bloqueada

  • y otros archivos en /etc/pam.d

Nota

Es peligroso jugar con PAM, así que asegúrate de tener una forma de acceder a la máquina si rompes la autenticación completamente. Recuerda que arrancar en modo rescate desde GRUB requiere una contraseña de root, así que tenla a mano o un live CD que pueda leer tus sistemas de ficheros.

Aquí encontrará más instrucciones (en alemán, parcialmente obsoleto).

Solución de problemas#

Si obtiene un error similar a ERR 100663414 Invalid ID <SCD> debe intentar en su lugar

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

¡Por favor, tenga en cuenta que tiene que insertar su ID de aplicación en la línea de arriba con el de su palo!

Claves ECC#

Desafortunadamente, Poldi aún no tiene soporte para llaves ECC. Pero hay un parche para claves ECC usadas con Nitrokey Start. Esto ya está incluido en la rama maestra del repositorio de desarrollo de Poldi y por lo tanto será liberado en una nueva versión eventualmente. Mientras tanto la única opción es construir Poldi desde el código fuente.