Logi sisse PAMiga#
Kuidas seadistada sisselogimist#
Teil on kaks võimalust: pam_p11 või PAM Poldi.
Lahendus pam_p11-ga on raskemini saavutatav ja põhineb S/MIME sertifikaatidel. Palun vaadake dokumentatsiooni lisateavet.
PAM Poldi 0.4.1 töötab laitmatult koos Nitrokey’ga PAM-autentimiseks RSA-võtmetega (ECC-võtmeid käsitleva teabe saamiseks vt Vigade kõrvaldamine). Lisaks Poldi paigaldamisele (nt sudo apt-get install libpam-poldi
Ubuntul) on vaja järgmisi samme, et see tööle saada.
On vaja, et Nitrokey võtmed oleksid juba loodud, sest autentimisvõtit kasutab PAM.
Kõigepealt tuleb teil välja selgitada teie Nitrokey rakendustunnus. See näeb välja või on sarnane
D00600012401020000000000xxxxxxxx
.
gpg --card-status | grep Application
Nüüd tuleb lisada rida
/etc/poldi/localdb/users
, mis sisaldab järgmist teavet<YourApplicationID> <YourUsername>
.See võiks välja näha
D00600012401020000000000xxxxxxxx nitrokeyuser
. Nüüd visake avalik võti Nitrokey’st Poldise kohalikku andmebaasi:
sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma Nitrokey!
Seejärel peate PAMi konfigureerima. Lisage lihtsalt auth sufficient pam_poldi.so
PAM-i konfiguratsioonifailidesse vastavalt oma vajadustele:
/etc/pam.d/common-auth
graafilise kasutaja sisselogimise jaoks
/etc/pam.d/login
konsooli sisselogimiseks
/etc/pam.d/sudo
sudo autentimiseks
/etc/pam.d/gnome-screensaver
lukustatud ekraanilt tagasi sisselogimiseksja muud failid aadressil
/etc/pam.d
Märkus
PAMiga on ohtlik mängida, seega veenduge, et teil on võimalus masinale ligi pääseda, kui autentimine täielikult katkestatakse. Pidage meeles, et GRUB-ist päästerežiimi käivitamine nõuab root-parooli, seega hoidke see või live-CD, mis suudab lugeda teie failisüsteeme, käepärast.
Siit leiad täiendavad juhised (saksa keeles, osaliselt vananenud).
Veaotsing#
Kui teil ilmneb ERR 100663414 Invalid ID <SCD>
sarnane viga, siis proovige hoopis järgmist
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Pange tähele, et peate sisestama oma taotluse ID reale ülalpool oma pulgaga!
ECC võtmed#
Kahjuks ei toeta Poldi veel ECC-võtmeid. Kuid Nitrokey Start <https://dev.gnupg.org/T4009>`__. `on olemas parandused Nitrokey Start __ abil kasutatavate ECC-klahvide jaoks. See on juba lisatud Poldi arendusrepositooriumi peaharusse ja seega avaldatakse see lõpuks uuemas versioonis. Vahepeal on ainus võimalus ehitada Poldi lähtekoodist.