PAM#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Ako nastaviť prihlásenie#

Máte dve možnosti: pam_p11 alebo PAM Poldi.

Riešenie s pam_p11 je náročnejšie na dosiahnutie a je založené na certifikátoch S/MIME. Viac informácií nájdete v dokumentácii.

PAM Poldi 0.4.1 funguje bezchybne s Nitrokey na overovanie PAM s kľúčmi RSA (informácie o kľúčoch ECC nájdete v časti Riešenie problémov). Okrem inštalácie Poldi (napr. sudo apt-get install libpam-poldi v Ubuntu) sú na jeho sprevádzkovanie potrebné nasledujúce kroky.

Je potrebné mať už vygenerované kľúče na Nitrokey, pretože autentifikačný kľúč používa PAM.

  1. Najprv musíte zistiť ID aplikácie Nitrokey. Vyzerá to ako D00600012401020000000000xxxxxxxx alebo podobne.

    gpg --card-status | grep Application

  2. Teraz musíte pridať riadok /etc/poldi/localdb/users, ktorý obsahuje nasledujúce informácie <YourApplicationID> <YourUsername>.

    Mohlo by to vyzerať takto: D00600012401020000000000xxxxxxxx nitrokeyuser. Teraz vypíšte verejný kľúč z Nitrokey do lokálnej db Poldis:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

    Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie spolu s ID vášho kľúča Nitrokey!

    Potom musíte nakonfigurovať PAM. Stačí pridať auth sufficient pam_poldi.so do konfiguračných súborov PAM podľa vašich potrieb:

    • /etc/pam.d/common-auth pre grafické prihlásenie používateľa

    • /etc/pam.d/login pre prihlásenie do konzoly

    • /etc/pam.d/sudo pre sudo autentifikáciu

    • /etc/pam.d/gnome-screensaver pre prihlásenie späť zo zamknutej obrazovky

    • a ďalšie súbory na /etc/pam.d

    Poznámka

    Hranie sa s PAM je nebezpečné, preto sa uistite, že máte spôsob prístupu k počítaču, ak úplne prerušíte overovanie. Nezabudnite, že zavedenie záchranného režimu z GRUB-u vyžaduje heslo roota, takže ho majte po ruke alebo live CD, ktoré dokáže čítať vaše súborové systémy.

Tu nájdete ďalšie pokyny (v nemčine, čiastočne neaktuálne).

Riešenie problémov#

Ak sa vám zobrazí chyba podobná ERR 100663414 Invalid ID <SCD>, mali by ste namiesto toho skúsiť

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie s ID vašej palice!

Kľúče ECC#

Bohužiaľ, Poldi zatiaľ nepodporuje kľúče ECC. Existuje však záplata pre ECC kľúče používané s Nitrokey Start. Ten je už zahrnutý v hlavnej vetve vývojového repozitára Poldi, a tak bude časom vydaný v novšej verzii. Zatiaľ je jedinou možnosťou zostaviť Poldi zo zdrojových kódov.