Prisijungimas naudojant PAM#

(Nitrokey Storage 2 - Linux)

Kaip nustatyti prisijungimą#

Turite dvi galimybes: pam_p11 arba Poldi.

Sprendimas su pam_p11 yra sudėtingesnis ir pagrįstas S/MIME sertifikatais. Daugiau informacijos rasite dokumentuose.

Poldi 0.4.1 nepriekaištingai veikia su „Nitrokey“ PAM autentifikavimui su RSA raktais (informacijos apie ECC raktus ieškokite skyriuje Trikčių sprendimas). Be „poldi“ diegimo (pvz., sudo apt-get install libpam-poldi Ubuntu sistemoje), reikia atlikti toliau nurodytus veiksmus, kad jis pradėtų veikti.

Būtina, kad „Nitrokey“ jau būtų sugeneruoti raktai, nes autentifikavimo raktą naudoja PAM.

  1. Pirmiausia turite sužinoti savo „Nitrokey“ programos ID“. Galite naudoti gpg --card-status | grep Application, kad sužinotumėte, kokia yra jūsų. Atrodo kaip D00600012401020000000000xxxxxxxx arba panašiai.

  2. Dabar į /etc/poldi/localdb/users reikia įrašyti eilutę, kurioje būtų tokia informacija

    <YourApplicationID> <YourUsername>

    Tai gali atrodyti taip ‚D006000124010200000000000000xxxxxxxx nitrokeyuser‘. Dabar išmeskite viešąjį raktą iš Nitrokey į poldi vietinę db:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Atkreipkite dėmesį, kad eilutėje viršuje turite įrašyti savo paraiškos ID su savo lazdelės ID!

Tada reikia sukonfigūruoti PAM. Tiesiog pridėkite „auth sufficient pam_poldi.so“ į pam konfigūracijos failus pagal savo poreikius:

  • /etc/pam.d/common-auth grafiniam vartotojo prisijungimui

  • /etc/pam.d/login prisijungimui prie konsolės

  • /etc/pam.d/sudo sudo autentifikavimui

  • /etc/pam.d/gnome-screensaver, skirtas grįžti iš užrakinto ekrano,

  • ir t. t.

Pastaba

Pam yra pavojinga žaisti, todėl įsitikinkite, kad turite būdą, kaip pasiekti įrenginį, jei visiškai sugadinsite autentifikaciją. Nepamirškite, kad įkraunant į gelbėjimo režimą iš „Grub“ reikia turėti root slaptažodį, todėl turėkite jį arba gyvą kompaktinį diską, kuris gali perskaityti failų sistemas.

Čia rasite toliau instrukcijos (vokiečių kalba, iš dalies neaktuali).

Trikčių šalinimas#

Jei gaunate klaidą, panašią į ‚ERR 100663414 Invalid ID <SCD>‘, turėtumėte pabandyti

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Atkreipkite dėmesį, kad eilutėje viršuje turite įrašyti savo paraiškos ID su savo lazdelės ID!

ECC raktai#

Deja, „poldi“ dar nepalaiko ECC raktų. Tačiau yra ` pataisa, skirta ECC raktams, naudojamiems su „Nitrokey Start“ <https://dev.gnupg.org/T4009>`_. Ji jau įtraukta į pagrindinę poldi kūrimo saugyklos šaką, todėl ilgainiui bus išleista naujesnėje versijoje. Tuo tarpu vienintelė galimybė yra sukurti „poldi“ iš pradinio kodo.