PAM

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

A bejelentkezés beállítása

Két lehetőséged van: pam_p11 vagy PAM Poldi.

A pam_p11 megoldása nehezebben megvalósítható, és az S/MIME tanúsítványokon alapul. Kérjük, nézze meg a ` dokumentációt <https://opensc.github.io/pam_pkcs11/doc/pam_pkcs11.html>`__ további információkért.

A PAM Poldi 0.4.1 hibátlanul működik a Nitrokey-vel a PAM hitelesítéshez RSA kulcsokkal (az ECC kulcsokkal kapcsolatos információkért lásd a Hibaelhárítás című részt). A Poldi telepítése mellett (pl. sudo apt-get install libpam-poldi Ubuntun) a következő lépések szükségesek a működéshez.

Szükséges, hogy a Nitrokey-n már generált kulcsok legyenek, mivel a PAM a hitelesítési kulcsot használja.

  1. Először is meg kell tudnia a Nitrokey alkalmazásazonosítóját. Ez úgy néz ki, vagy hasonló a D00600012401020000000000xxxxxxxx.

    gpg --card-status | grep Application

  2. Most a /etc/poldi/localdb/users oldalhoz kell hozzáadni egy sort, amely a következő információkat tartalmazza: <YourApplicationID> <YourUsername>.

    Ez így nézhet ki: D00600012401020000000000xxxxxxxx nitrokeyuser. Most a nyilvános kulcsot a Nitrokey-ből a Poldis helyi adatbázisa tartalmazza:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

    Kérjük, vegye figyelembe, hogy a fenti sorba a Nitrokey azonosítóját kell beírnia a fenti sorba!

    Ezután konfigurálnia kell a PAM-ot. Csak add hozzá a auth sufficient pam_poldi.so a PAM konfigurációs fájlokat az igényeidnek megfelelően:

    • /etc/pam.d/common-auth grafikus felhasználói bejelentkezéshez

    • /etc/pam.d/login a konzolos bejelentkezéshez

    • /etc/pam.d/sudo a sudo hitelesítéshez

    • /etc/pam.d/gnome-screensaver a zárolt képernyőről való visszalépéshez

    • és más fájlokat a /etc/pam.d

    Megjegyzés

    A PAM-mal veszélyes játszani, ezért győződj meg róla, hogy van módod a géphez való hozzáférésre, ha teljesen megszakítod a hitelesítést. Ne feledje, hogy a GRUB-ból mentési módba való bootoláshoz root jelszóra van szükség, ezért tartsa kéznél azt vagy egy élő CD-t, amely képes olvasni a fájlrendszereit.

Itt talál ` további utasításokat <https://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`__ (németül, részben elavult).

Hibaelhárítás

Ha a ERR 100663414 Invalid ID <SCD> -hoz hasonló hibát kap, akkor próbálja meg helyette a következőt

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Felhívjuk figyelmét, hogy a fenti sorba a Pályázati azonosítóját kell beírnia a pálcája azonosítójával együtt!

ECC kulcsok

Sajnos a Poldi még nem támogatja az ECC kulcsokat. De van egy javítás a Nitrokey Start segítségével használt ECC kulcsokhoz. Ez már szerepel a Poldi fejlesztői tárolójának master ágában, és így előbb-utóbb egy újabb verzióban fog megjelenni. Addig is az egyetlen lehetőség a Poldi forrásból történő összeállítása.