PAM

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

Ako nastaviť prihlásenie

Máte dve možnosti: pam_p11 alebo PAM Poldi.

Riešenie s pam_p11 je náročnejšie na dosiahnutie a je založené na certifikátoch S/MIME. Viac informácií nájdete v dokumentácii.

PAM Poldi 0.4.1 funguje bezchybne s Nitrokey na overovanie PAM s kľúčmi RSA (informácie o kľúčoch ECC nájdete v časti Riešenie problémov). Okrem inštalácie Poldi (napr. sudo apt-get install libpam-poldi v Ubuntu) sú na jeho sprevádzkovanie potrebné nasledujúce kroky.

Je potrebné mať už vygenerované kľúče na Nitrokey, pretože autentifikačný kľúč používa PAM.

  1. Najprv musíte zistiť ID aplikácie Nitrokey. Vyzerá to ako D00600012401020000000000xxxxxxxx alebo podobne.

    gpg --card-status | grep Application

  2. Teraz musíte pridať riadok /etc/poldi/localdb/users, ktorý obsahuje nasledujúce informácie <YourApplicationID> <YourUsername>.

    Mohlo by to vyzerať takto: D00600012401020000000000xxxxxxxx nitrokeyuser. Teraz vypíšte verejný kľúč z Nitrokey do lokálnej db Poldis:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

    Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie spolu s ID vášho kľúča Nitrokey!

    Potom musíte nakonfigurovať PAM. Stačí pridať auth sufficient pam_poldi.so do konfiguračných súborov PAM podľa vašich potrieb:

    • /etc/pam.d/common-auth pre grafické prihlásenie používateľa

    • /etc/pam.d/login pre prihlásenie do konzoly

    • /etc/pam.d/sudo pre sudo autentifikáciu

    • /etc/pam.d/gnome-screensaver pre prihlásenie späť zo zamknutej obrazovky

    • a ďalšie súbory na /etc/pam.d

    Poznámka

    Hranie sa s PAM je nebezpečné, preto sa uistite, že máte spôsob prístupu k počítaču, ak úplne prerušíte overovanie. Nezabudnite, že zavedenie záchranného režimu z GRUB-u vyžaduje heslo roota, takže ho majte po ruke alebo live CD, ktoré dokáže čítať vaše súborové systémy.

Tu nájdete ďalšie pokyny (v nemčine, čiastočne neaktuálne).

Riešenie problémov

Ak sa vám zobrazí chyba podobná ERR 100663414 Invalid ID <SCD>, mali by ste namiesto toho skúsiť

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie s ID vašej palice!

Kľúče ECC

The use of ECC keys requires at least Poldi version 0.4.2.