Kirjaudu sisään PAM:lla#

(Nitrokey Storage 2 - Linux)

Kirjautumisen määrittäminen#

Sinulla on kaksi vaihtoehtoa: pam_p11 tai Poldi.

Ratkaisu pam_p11:n kanssa on vaikeampi toteuttaa, ja se perustuu S/MIME-varmenteisiin. Katso lisätietoja dokumentaatiosta.

Poldi 0.4.1 toimii moitteettomasti Nitrokeyn kanssa PAM-todennusta varten RSA-avaimilla (katso ECC-avaimia koskevat tiedot kohdasta Vianmääritys). Poldin asennuksen lisäksi (esim. sudo apt-get install libpam-poldi Ubuntussa) tarvitaan seuraavat vaiheet, jotta se saadaan toimimaan.

On välttämätöntä, että Nitrokey-avaimet on jo luotu, koska PAM käyttää todentamisavainta.

  1. Ensin sinun on selvitettävä Nitrokey-avaimesi ”Application ID”. Voit käyttää gpg --card-status | grep Application saadaksesi selville, mikä’on sinun. Se näyttää D00600012401020000000000xxxxxxxx tai vastaavalta.

  2. Nyt sinun on lisättävä /etc/poldi/localdb/users-tiedostoon rivi, joka sisältää seuraavat tiedot

    <YourApplicationID> <YourUsername>

    Tämä voisi näyttää esimerkiksi ’D006000124010200000000000000xxxxxxxx nitrokeyuser’. Nyt dumppaa julkinen avain Nitrokey:stä poldi local db:hen:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'`

Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville tikkusi tunnuksen kanssa!

Sitten sinun on määritettävä PAM. Lisää vain ”auth sufficient pam_poldi.so” pam-konfiguraatiotiedostoihin tarpeidesi mukaan:

  • /etc/pam.d/common-auth graafista käyttäjäkirjautumista varten.

  • /etc/pam.d/login konsolin kirjautumista varten

  • /etc/pam.d/sudo sudo-todennusta varten

  • /etc/pam.d/gnome-näytönsäästäjä lukitulta näytöltä takaisin kirjautumista varten,

  • jne.

Muista

Pamin kanssa on vaarallista leikkiä, joten varmista, että sinulla on keino päästä koneeseen käsiksi, jos autentikointi katkeaa kokonaan. Muista, että käynnistys pelastustilaan Grubista vaatii root-salasanan, joten pidä se tai live-CD, joka osaa lukea tiedostojärjestelmiäsi, käsillä.

Täältä löydät lisäohjeita (saksaksi, osittain vanhentunut).

Vianmääritys#

Jos saat virheilmoituksen, joka on samankaltainen kuin ’ERR 100663414 Invalid ID <SCD>’ kokeile sen sijaan seuraavaa

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys`

Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville tikkusi tunnuksen kanssa!

ECC-avaimet#

Valitettavasti poldi ei vielä tue ECC-avaimia. Nitrokey Startin kanssa käytettäville ECC-avaimille on kuitenkin olemassa patch. Tämä on jo mukana poldi-kehitysrepositoryn master-haarassa, joten se tullaan julkaisemaan uudemmassa versiossa aikanaan. Sillä välin ainoa vaihtoehto on rakentaa poldi lähdekoodista.