PAM¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
Kirjautumisen määrittäminen¶
Sinulla on kaksi vaihtoehtoa: pam_p11 tai PAM Poldi.
Ratkaisu pam_p11:n kanssa on vaikeampi toteuttaa, ja se perustuu S/MIME-varmenteisiin. Katso lisätietoja dokumentaatiosta.
PAM Poldi 0.4.1 toimii moitteettomasti Nitrokeyn kanssa PAM-todennusta varten RSA-avaimilla (katso ECC-avaimia koskevat tiedot kohdasta Vianmääritys). Poldin asennuksen lisäksi (esim. sudo apt-get install libpam-poldi Ubuntussa) tarvitaan seuraavat vaiheet, jotta se saadaan toimimaan.
On välttämätöntä, että Nitrokey-avaimet on jo luotu, koska PAM käyttää todentamisavainta.
Ensin sinun on selvitettävä Nitrokey-avaimesi sovellustunnus. Se näyttää tai muistuttaa
D00600012401020000000000xxxxxxxx.gpg --card-status | grep Application
Nyt sinun on lisättävä rivi osoitteeseen
/etc/poldi/localdb/users, joka sisältää seuraavat tiedot<YourApplicationID> <YourUsername>.Tämä voisi näyttää seuraavalta:
D00600012401020000000000xxxxxxxx nitrokeyuser. Kaada nyt julkinen avain Nitrokey:stä Poldisin paikalliseen tietokantaan:sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville Nitrokey-tunnuksesi kanssa!
Sitten sinun on määritettävä PAM. Lisää vain
auth sufficient pam_poldi.soPAM-konfiguraatiotiedostoihin tarpeidesi mukaan:/etc/pam.d/common-authgraafista käyttäjäkirjautumista varten/etc/pam.d/loginkonsolin kirjautumista varten/etc/pam.d/sudosudo-todennusta varten/etc/pam.d/gnome-screensaverkirjautumiseen takaisin lukitulta näytöltäja muut tiedostot osoitteessa
/etc/pam.d
Muista
PAMin kanssa on vaarallista leikkiä, joten varmista, että sinulla on keino päästä koneelle, jos autentikointi katkeaa kokonaan. Muista, että käynnistys pelastustilaan GRUBista vaatii root-salasanan, joten pidä se tai live-CD, joka osaa lukea tiedostojärjestelmiäsi, käsillä.
Täältä löydät lisäohjeita (saksaksi, osittain vanhentunut).
Vianmääritys¶
Jos saat virheilmoituksen, joka on samanlainen kuin ERR 100663414 Invalid ID <SCD>, kokeile sen sijaan seuraavaa
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Huomaa, että sinun on lisättävä hakemustunnuksesi yllä olevalle riville tikkusi tunnuksen kanssa!
ECC-avaimet¶
Valitettavasti Poldi ei vielä tue ECC-avaimia. Mutta on olemassa -korjaus Nitrokey Start kanssa käytettäviä ECC-avaimia varten. Tämä on jo sisällytetty Poldi-kehitysarkiston master-haaraan, joten se julkaistaan jossain uudemmassa versiossa. Sillä välin ainoa vaihtoehto on rakentaa Poldi lähdekoodista.