Autentificare cu PAM#

(Nitrokey Start - Linux)

Cum să configurați autentificarea#

Aveți două opțiuni: pam_p11 sau Poldi.

Soluția cu pam_p11 este mai dificil de realizat și se bazează pe certificate S/MIME. Vă rugăm să aruncați o privire la documentația pentru mai multe informații.

Poldi 0.4.1 funcționează fără probleme cu Nitrokey pentru autentificarea PAM cu chei RSA (consultați Rezolvarea problemelor pentru informații despre cheile ECC). În afară de instalarea lui poldi (de exemplu sudo apt-get install libpam-poldi pe Ubuntu) sunt necesari următorii pași pentru a-l face să funcționeze.

Este necesar să aveți deja chei generate pe Nitrokey, deoarece cheia de autentificare este utilizată de PAM.

  1. La început trebuie să aflați „Application ID” al Nitrokey. Puteți folosi gpg --card-status | grep Application pentru a afla care’este al dumneavoastră. Seamănă cu `D00600012401020000000000xxxxxxxx sau ceva asemănător.

  2. Acum trebuie să adăugați o linie în /etc/poldi/localdb/users care să conțină următoarele informații

    <YourApplicationID> <YourUsername>

    Acest lucru ar putea arăta ca «D006000124010200000000000000xxxxxxxx nitrokeyuser». Acum, aruncați cheia publică din Nitrokey în baza de date locală poldi:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'`

Vă rugăm să aveți în vedere că trebuie să introduceți ID-ul aplicației în rândul de mai sus cu cel al stick-ului dumneavoastră!

Apoi trebuie să configurați PAM. Trebuie doar să adăugați „auth sufficient pam_poldi.so” la fișierele de configurare pam în funcție de nevoile dumneavoastră:

  • /etc/pam.d/common-auth pentru autentificarea grafică a utilizatorilor

  • /etc/pam.d/login pentru conectarea la consolă

  • /etc/pam.d/sudo pentru autentificarea sudo

  • /etc/pam.d/gnome-screensaver pentru întoarcerea de pe un ecran blocat,

  • etc.

Notă

Este periculos să vă jucați cu Pam, așa că asigurați-vă că aveți o modalitate de a accesa aparatul în cazul în care rupeți complet autentificarea. Nu uitați că pornirea în modul de salvare din Grub necesită o parolă de root, așa că păstrați-o la îndemână sau un CD live care poate citi sistemele de fișiere.

Aici găsiți instrucțiuni suplimentare (în germană, parțial depășite).

Depanare#

Dacă primiți o eroare similară cu «ERR 100663414 Invalid ID <SCD>» ar trebui să încercați în schimb

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys`

Vă rugăm să aveți în vedere că trebuie să introduceți ID-ul aplicației în rândul de mai sus cu cel al stick-ului dumneavoastră!

Chei ECC#

Din păcate, poldi nu are încă suport pentru cheile ECC. Dar există un patch pentru cheile ECC utilizate cu Nitrokey Start. Aceasta este deja inclusă în ramura master a depozitului de dezvoltare poldi și, prin urmare, va fi lansată într-o versiune mai nouă în cele din urmă. Între timp, singura opțiune este să construiți poldi din sursă.