Logi sisse PAMiga#

(Nitrokey Pro 2 - Linux)

Kuidas seadistada sisselogimist#

Teil on kaks võimalust: pam_p11 või Poldi.

Lahendus pam_p11-ga on raskemini saavutatav ja põhineb S/MIME sertifikaatidel. Palun vaadake dokumentatsiooni lisateabe saamiseks.

Poldi 0.4.1 töötab laitmatult koos Nitrokey’ga PAM-autentimiseks RSA-võtmetega (vt ECC-võtmete kohta teavet punktis Vigade kõrvaldamine). Lisaks poldi paigaldamisele (nt sudo apt-get install libpam-poldi Ubuntul) on vaja järgmisi samme, et see tööle saada.

On vaja, et Nitrokey võtmed oleksid juba loodud, sest autentimisvõtit kasutab PAM.

  1. Kõigepealt peate välja selgitama oma Nitrokey „Application ID“. Võite kasutada gpg --card-status | grep Application, et teada saada, mis’on teie oma. See näeb välja nagu D00600012401020000000000xxxxxxxx või sarnane.

  2. Nüüd tuleb lisada rida /etc/poldi/localdb/users, mis sisaldab järgmist teavet

    <YourApplicationID> <YourUsername>

    See võiks välja näha ‚D00600012401020000000000xxxxxxxx nitrokeyuser‘. Nüüd visake avalik võti Nitrokey’st poldi kohalikku db-sse:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'<x>

Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma pulgaga!

Seejärel peate seadistama PAMi. Lihtsalt lisage „auth sufficient pam_poldi.so“ pam-konfiguratsioonifailidesse vastavalt oma vajadustele:

  • /etc/pam.d/common-auth kasutaja graafilise sisselogimise jaoks

  • /etc/pam.d/login konsooli sisselogimiseks

  • /etc/pam.d/sudo sudo autentimiseks

  • /etc/pam.d/gnome-screensaver lukustatud ekraanilt tagasi sisselogimiseks,

  • jne.

Märkus

Pamiga on ohtlik mängida, seega veenduge, et teil on võimalus masinale ligi pääseda, kui autentimine täielikult katkeb. Pidage meeles, et Grubist päästerežiimi käivitamine nõuab root-parooli, seega hoidke see või live-CD, mis suudab lugeda teie failisüsteeme, käepärast.

Siit leiad täiendavad juhised (saksa keeles, osaliselt vananenud).

Veaotsing#

Kui saate vea, mis on sarnane ‚ERR 100663414 Invalid ID <SCD>‘ peaksite selle asemel proovima järgmist

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys<x>

Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma pulgaga!

ECC võtmed#

Kahjuks ei toeta poldi veel ECC-võtmeid. Kuid on olemas patch Nitrokey Start abil kasutatavate ECC-klahvide jaoks. See on juba lisatud poldi arendusrepositooriumi master-harusse ja seega ilmub see lõpuks uuemas versioonis. Vahepeal on ainus võimalus ehitada poldi lähtekoodist.