Bejelentkezés a PAM segítségével#
(Nitrokey Pro 2 - Linux)
A bejelentkezés beállítása#
Két lehetősége van: pam_p11 vagy Poldi.
A pam_p11 megoldása nehezebben megvalósítható, és az S/MIME tanúsítványokon alapul. Kérjük, nézze meg a ` dokumentációt <http://opensc.github.io/pam_pkcs11/doc/pam_pkcs11.html>`_ további információkért.
A Poldi 0.4.1 hibátlanul működik a Nitrokey-vel a PAM hitelesítéshez RSA kulcsokkal (az ECC kulcsokkal kapcsolatos információkért lásd a Hibaelhárítás című részt). A poldi telepítése mellett (pl. sudo apt-get install libpam-poldi
Ubuntun) a következő lépések szükségesek a működéshez.
Szükséges, hogy a Nitrokey-n már legyenek generált kulcsok, mivel a PAM a hitelesítési kulcsot használja.
Először is meg kell tudnia a Nitrokey „Application ID” azonosítóját. A
gpg --card-status | grep Application
segítségével megtudhatod, hogy mi a tiéd. Úgy néz ki, mintD00600012401020000000000xxxxxxxx
vagy hasonló.Most hozzá kell adnod egy sort az /etc/poldi/localdb/users állományhoz, amely a következő információt tartalmazza
<YourApplicationID> <YourUsername>
Ez így nézhet ki: «D006000124010200000000000000xxxxxxxx nitrokeyuser». Most a nyilvános kulcsot a Nitrokey-ből a poldi local db-ba dumpoljuk:
sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'<x>
Felhívjuk figyelmét, hogy a fenti sorba a Pályázati azonosítóját kell beírnia a pálcája azonosítójával együtt!
Ezután konfigurálnia kell a PAM-ot. Csak add hozzá a „auth sufficient pam_poldi.so” -t a pam konfigurációs fájlokhoz az igényeidnek megfelelően:
/etc/pam.d/common-auth grafikus felhasználói bejelentkezéshez
/etc/pam.d/login a konzolos bejelentkezéshez
/etc/pam.d/sudo a sudo hitelesítéshez
/etc/pam.d/gnome-screensaver a zárolt képernyőről való visszalépéshez,
stb.
Megjegyzés
A Pammel veszélyes játszani, ezért győződjön meg róla, hogy van-e módja a géphez való hozzáférésre, ha teljesen megszakad a hitelesítés. Ne feledje, hogy a Grubból mentési módba való bootoláshoz root jelszóra van szükség, ezért tartsa kéznél azt vagy egy élő CD-t, amely képes beolvasni a fájlrendszereit.
Itt talál ` további utasításokat <http://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`_ (németül, részben elavult).
Hibaelhárítás#
Ha a «ERR 100663414 Érvénytelen azonosító <SCD>»-hez hasonló hibaüzenetet kap, akkor próbálja meg a következőt.
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Felhívjuk figyelmét, hogy a fenti sorba a Pályázati azonosítóját kell beírnia a pálcája azonosítójával együtt!
ECC kulcsok#
Sajnos a poldi még nem támogatja az ECC kulcsokat. De van egy `patch a Nitrokey Start <https://dev.gnupg.org/T4009><https://dev.gnupg.org/T4009>`_ segítségével használt ECC kulcsokhoz. Ez már szerepel a poldi fejlesztői adattár master ágában, és így előbb-utóbb egy újabb verzióban fog megjelenni. Addig is az egyetlen lehetőség a poldi forrásból történő összeállítása.