PAM

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

Kuidas seadistada sisselogimist

Teil on kaks võimalust: pam_p11 või PAM Poldi.

Lahendus pam_p11-ga on raskemini saavutatav ja põhineb S/MIME sertifikaatidel. Palun vaadake dokumentatsiooni lisateavet.

PAM Poldi 0.4.1 töötab laitmatult koos Nitrokey’ga PAM-autentimiseks RSA-võtmetega (ECC-võtmeid käsitleva teabe saamiseks vt Vigade kõrvaldamine). Lisaks Poldi paigaldamisele (nt sudo apt-get install libpam-poldi Ubuntul) on vaja järgmisi samme, et see tööle saada.

On vaja, et Nitrokey võtmed oleksid juba loodud, sest autentimisvõtit kasutab PAM.

  1. Kõigepealt tuleb teil välja selgitada teie Nitrokey rakendustunnus. See näeb välja või on sarnane D00600012401020000000000xxxxxxxx.

    gpg --card-status | grep Application

  2. Nüüd tuleb lisada rida /etc/poldi/localdb/users, mis sisaldab järgmist teavet <YourApplicationID> <YourUsername>.

    See võiks välja näha D00600012401020000000000xxxxxxxx nitrokeyuser. Nüüd visake avalik võti Nitrokey’st Poldise kohalikku andmebaasi:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

    Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma Nitrokey!

    Seejärel peate PAMi konfigureerima. Lisage lihtsalt auth sufficient pam_poldi.so PAM-i konfiguratsioonifailidesse vastavalt oma vajadustele:

    • /etc/pam.d/common-auth graafilise kasutaja sisselogimise jaoks

    • /etc/pam.d/login konsooli sisselogimiseks

    • /etc/pam.d/sudo sudo autentimiseks

    • /etc/pam.d/gnome-screensaver lukustatud ekraanilt tagasi sisselogimiseks

    • ja muud failid aadressil /etc/pam.d

    Märkus

    PAMiga on ohtlik mängida, seega veenduge, et teil on võimalus masinale ligi pääseda, kui autentimine täielikult katkestatakse. Pidage meeles, et GRUB-ist päästerežiimi käivitamine nõuab root-parooli, seega hoidke see või live-CD, mis suudab lugeda teie failisüsteeme, käepärast.

Siit leiad täiendavad juhised (saksa keeles, osaliselt vananenud).

Veaotsing

Kui teil ilmneb ERR 100663414 Invalid ID <SCD> sarnane viga, siis proovige hoopis järgmist

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma pulgaga!

ECC võtmed

Kahjuks ei toeta Poldi veel ECC-võtmeid. Kuid Nitrokey Start <https://dev.gnupg.org/T4009>`__. `on olemas parandused Nitrokey Start __ abil kasutatavate ECC-klahvide jaoks. See on juba lisatud Poldi arendusrepositooriumi peaharusse ja seega avaldatakse see lõpuks uuemas versioonis. Vahepeal on ainus võimalus ehitada Poldi lähtekoodist.