PAM

Kaip nustatyti prisijungimą

Galite rinktis iš dviejų variantų: pam_p11 arba PAM Poldi.

Sprendimas su pam_p11 yra sudėtingesnis ir pagrįstas S/MIME sertifikatais. Daugiau informacijos rasite dokumentuose.

PAM Poldi 0.4.1 nepriekaištingai veikia su „Nitrokey“ PAM autentifikavimui su RSA raktais (informacijos apie ECC raktus žr. skyriuje Trikčių sprendimas). Be „Poldi“ diegimo (pvz., sudo apt-get install libpam-poldi Ubuntu sistemoje), reikia atlikti šiuos veiksmus, kad ji pradėtų veikti.

Būtina, kad „Nitrokey“ jau būtų sugeneruoti raktai, nes autentifikavimo raktą naudoja PAM.

  1. Pirmiausia turite sužinoti savo „Nitrokey“ programos ID. Jis atrodo taip arba panašiai kaip D00600012401020000000000xxxxxxxx.

    gpg --card-status | grep Application
    
  2. Dabar į /etc/poldi/localdb/users turite pridėti eilutę, kurioje būtų tokia informacija <YourApplicationID> <YourUsername>.

    Tai gali atrodyti taip: D00600012401020000000000xxxxxxxx nitrokeyuser. Dabar viešąjį raktą iš „Nitrokey“ perkelkite į „Poldis“ vietinę db:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
    

    Atkreipkite dėmesį, kad pirmiau esančioje eilutėje turite įrašyti savo paraiškos ID ir savo „Nitrokey“ ID!

    Tada reikia sukonfigūruoti PAM. Tiesiog į PAM konfigūracijos failus pagal savo poreikius pridėkite auth sufficient pam_poldi.so:

    • /etc/pam.d/common-auth grafiniam vartotojo prisijungimui

    • /etc/pam.d/login prisijungimui prie konsolės

    • /etc/pam.d/sudo sudo autentifikavimui

    • /etc/pam.d/gnome-screensaver prisijungimui atgal iš užrakinto ekrano

    • ir kitus failus /etc/pam.d

    Pastaba

    Su PAM yra pavojinga žaisti, todėl įsitikinkite, kad turite būdą pasiekti kompiuterį, jei visiškai nutrauksite autentifikavimą. Nepamirškite, kad GRUB įkraunant į gelbėjimo režimą reikia root slaptažodžio, todėl turėkite jį arba gyvą kompaktinį diską, kuris gali perskaityti failų sistemas.

Čia rasite detalias instrukcijas (vokiečių kalba, iš dalies neaktualu).

Trikčių šalinimas

Jei gaunate klaidą, panašią į ERR 100663414 Invalid ID <SCD>, turėtumėte pabandyti

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Atkreipkite dėmesį, kad eilutėje viršuje turite įrašyti savo paraiškos ID su savo lazdelės ID!

ECC raktai

Deja, „Poldi“ dar nepalaiko ECC raktų. Tačiau yra pataisa, skirta ECC raktams, naudojamiems su „Nitrokey Start“. Jis jau įtrauktas į pagrindinę „Poldi“ kūrimo saugyklos šaką, todėl ilgainiui bus išleistas naujesnėje versijoje. Tuo tarpu vienintelė galimybė yra kurti „Poldi“ iš pirminio kodo.