PAM¶
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
Kaip nustatyti prisijungimą¶
Galite rinktis iš dviejų variantų: pam_p11 arba PAM Poldi.
Sprendimas su pam_p11 yra sudėtingesnis ir pagrįstas S/MIME sertifikatais. Daugiau informacijos rasite dokumentuose.
PAM Poldi 0.4.1 nepriekaištingai veikia su „Nitrokey“ PAM autentifikavimui su RSA raktais (informacijos apie ECC raktus žr. skyriuje Trikčių sprendimas). Be „Poldi“ diegimo (pvz., sudo apt-get install libpam-poldi
Ubuntu sistemoje), reikia atlikti šiuos veiksmus, kad ji pradėtų veikti.
Būtina, kad „Nitrokey“ jau būtų sugeneruoti raktai, nes autentifikavimo raktą naudoja PAM.
Pirmiausia turite sužinoti savo „Nitrokey“ programos ID. Jis atrodo taip arba panašiai kaip
D00600012401020000000000xxxxxxxx
.gpg --card-status | grep Application
Dabar į
/etc/poldi/localdb/users
turite pridėti eilutę, kurioje būtų tokia informacija<YourApplicationID> <YourUsername>
.Tai gali atrodyti taip:
D00600012401020000000000xxxxxxxx nitrokeyuser
. Dabar viešąjį raktą iš „Nitrokey“ perkelkite į „Poldis“ vietinę db:sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Atkreipkite dėmesį, kad pirmiau esančioje eilutėje turite įrašyti savo paraiškos ID ir savo „Nitrokey“ ID!
Tada reikia sukonfigūruoti PAM. Tiesiog į PAM konfigūracijos failus pagal savo poreikius pridėkite
auth sufficient pam_poldi.so
:/etc/pam.d/common-auth
grafiniam vartotojo prisijungimui/etc/pam.d/login
prisijungimui prie konsolės/etc/pam.d/sudo
sudo autentifikavimui/etc/pam.d/gnome-screensaver
prisijungimui atgal iš užrakinto ekranoir kitus failus
/etc/pam.d
Pastaba
Su PAM yra pavojinga žaisti, todėl įsitikinkite, kad turite būdą pasiekti kompiuterį, jei visiškai nutrauksite autentifikavimą. Nepamirškite, kad GRUB įkraunant į gelbėjimo režimą reikia root slaptažodžio, todėl turėkite jį arba gyvą kompaktinį diską, kuris gali perskaityti failų sistemas.
Čia rasite detalias instrukcijas (vokiečių kalba, iš dalies neaktualu).
Trikčių šalinimas¶
Jei gaunate klaidą, panašią į ERR 100663414 Invalid ID <SCD>
, turėtumėte pabandyti
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Atkreipkite dėmesį, kad eilutėje viršuje turite įrašyti savo paraiškos ID su savo lazdelės ID!
ECC raktai¶
Deja, „Poldi“ dar nepalaiko ECC raktų. Tačiau yra pataisa, skirta ECC raktams, naudojamiems su „Nitrokey Start“. Jis jau įtrauktas į pagrindinę „Poldi“ kūrimo saugyklos šaką, todėl ilgainiui bus išleistas naujesnėje versijoje. Tuo tarpu vienintelė galimybė yra kurti „Poldi“ iš pirminio kodo.