Kirjaudu sisään PAM:lla#
(Nitrokey Storage 2 - Linux)
Kirjautumisen määrittäminen#
Sinulla on kaksi vaihtoehtoa: pam_p11 tai Poldi.
Ratkaisu pam_p11:n kanssa on vaikeampi toteuttaa, ja se perustuu S/MIME-varmenteisiin. Katso lisätietoja dokumentaatiosta.
Poldi 0.4.1 toimii moitteettomasti Nitrokeyn kanssa PAM-todennusta varten RSA-avaimilla (katso ECC-avaimia koskevat tiedot kohdasta Vianmääritys). Poldin asennuksen lisäksi (esim. sudo apt-get install libpam-poldi
Ubuntussa) tarvitaan seuraavat vaiheet, jotta se saadaan toimimaan.
On välttämätöntä, että Nitrokey-avaimet on jo luotu, koska PAM käyttää todentamisavainta.
Ensin sinun on selvitettävä Nitrokey-avaimesi ”Application ID”. Voit käyttää
gpg --card-status | grep Application
saadaksesi selville, mikä’on sinun. Se näyttääD00600012401020000000000xxxxxxxx
tai vastaavalta.Nyt sinun on lisättävä /etc/poldi/localdb/users-tiedostoon rivi, joka sisältää seuraavat tiedot
<YourApplicationID> <YourUsername>
Tämä voisi näyttää esimerkiksi ’D006000124010200000000000000xxxxxxxx nitrokeyuser’. Nyt dumppaa julkinen avain Nitrokey:stä poldi local db:hen:
sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'`
Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville tikkusi tunnuksen kanssa!
Sitten sinun on määritettävä PAM. Lisää vain ”auth sufficient pam_poldi.so” pam-konfiguraatiotiedostoihin tarpeidesi mukaan:
/etc/pam.d/common-auth graafista käyttäjäkirjautumista varten.
/etc/pam.d/login konsolin kirjautumista varten
/etc/pam.d/sudo sudo-todennusta varten
/etc/pam.d/gnome-näytönsäästäjä lukitulta näytöltä takaisin kirjautumista varten,
jne.
Muista
Pamin kanssa on vaarallista leikkiä, joten varmista, että sinulla on keino päästä koneeseen käsiksi, jos autentikointi katkeaa kokonaan. Muista, että käynnistys pelastustilaan Grubista vaatii root-salasanan, joten pidä se tai live-CD, joka osaa lukea tiedostojärjestelmiäsi, käsillä.
Täältä löydät lisäohjeita (saksaksi, osittain vanhentunut).
Vianmääritys#
Jos saat virheilmoituksen, joka on samankaltainen kuin ’ERR 100663414 Invalid ID <SCD>’ kokeile sen sijaan seuraavaa
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys`
Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville tikkusi tunnuksen kanssa!
ECC-avaimet#
Valitettavasti poldi ei vielä tue ECC-avaimia. Nitrokey Startin kanssa käytettäville ECC-avaimille on kuitenkin olemassa patch. Tämä on jo mukana poldi-kehitysrepositoryn master-haarassa, joten se tullaan julkaisemaan uudemmassa versiossa aikanaan. Sillä välin ainoa vaihtoehto on rakentaa poldi lähdekoodista.