Autentificare cu PAM#

Cum să configurați autentificarea#

Aveți două opțiuni: pam_p11 sau PAM Poldi.

Soluția cu pam_p11 este mai dificil de realizat și se bazează pe certificate S/MIME. Vă rugăm să aruncați o privire la documentația pentru mai multe informații.

PAM Poldi 0.4.1 funcționează fără probleme cu Nitrokey pentru autentificarea PAM cu chei RSA (consultați Depanare pentru informații despre cheile ECC). În afară de instalarea lui Poldi (de exemplu, sudo apt-get install libpam-poldi pe Ubuntu) sunt necesari următorii pași pentru a-l face să funcționeze.

Este necesar să aveți deja chei generate pe Nitrokey, deoarece cheia de autentificare este utilizată de PAM.

  1. La început trebuie să aflați ID-ul aplicației Nitrokey. Acesta arată sau este similar cu D00600012401020000000000xxxxxxxx.

gpg --card-status | grep Application
  1. Acum trebuie să adăugați o linie la /etc/poldi/localdb/users care să conțină următoarele informații <YourApplicationID> <YourUsername>.

    Aceasta ar putea arăta astfel: D00600012401020000000000xxxxxxxx nitrokeyuser. Acum descărcați cheia publică din Nitrokey în baza de date locală Poldis:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Vă rugăm să țineți cont că trebuie să introduceți ID-ul aplicației în linia de mai sus cu cel al Nitrokey-ului dumneavoastră!

Apoi trebuie să configurați PAM. Trebuie doar să adăugați auth sufficient pam_poldi.so la fișierele de configurare PAM în funcție de nevoile dumneavoastră:

  • /etc/pam.d/common-auth pentru autentificarea grafică a utilizatorului

  • /etc/pam.d/login pentru conectarea la consolă

  • /etc/pam.d/sudo pentru autentificarea sudo

  • /etc/pam.d/gnome-screensaver pentru autentificarea înapoi de pe un ecran blocat

  • și alte fișiere în /etc/pam.d

Notă

Este periculos să te joci cu PAM, așa că asigură-te că ai o modalitate de a accesa mașina dacă întrerupi complet autentificarea. Nu uitați că pornirea în modul de salvare din GRUB necesită o parolă de root, așa că păstrați la îndemână această parolă sau un CD live care poate citi sistemele de fișiere.

Aici găsiți >instrucțiuni suplimentare (în germană, parțial depășite).

Depanare#

Dacă primiți o eroare similară cu ERR 100663414 Invalid ID <SCD> ar trebui să încercați în schimb

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Vă rugăm să aveți în vedere că trebuie să introduceți ID-ul aplicației în rândul de mai sus cu cel al stick-ului dumneavoastră!

Chei ECC#

Din păcate, Poldi nu are încă suport pentru cheile ECC. Dar există un patch pentru cheile ECC utilizate cu Nitrokey Start. Acesta este deja inclus în ramura principală a depozitului de dezvoltare Poldi și, prin urmare, va fi lansat într-o versiune mai nouă în cele din urmă. Între timp, singura opțiune este să construiți Poldi din sursă.