Prihlásenie pomocou PAM#

(Nitrokey Start - Linux)

Ako nastaviť prihlásenie#

Máte dve možnosti: pam_p11 alebo Poldi.

Riešenie s pam_p11 je náročnejšie na dosiahnutie a je založené na certifikátoch S/MIME. Viac informácií nájdete v dokumentácii.

Poldi 0.4.1 funguje bezchybne s Nitrokey pre overovanie PAM s kľúčmi RSA (informácie o kľúčoch ECC nájdete v časti Riešenie problémov). Okrem inštalácie poldi (napr. sudo apt-get install libpam-poldi na Ubuntu) sú na jeho sprevádzkovanie potrebné nasledujúce kroky.

Je potrebné mať už vygenerované kľúče na Nitrokey, pretože autentifikačný kľúč používa PAM.

  1. Najprv musíte zistiť „ID aplikácie“ vášho kľúča Nitrokey. Môžete použiť gpg --card-status | grep Application, aby ste zistili, aký’je váš. Vyzerá to ako D00600012401020000000000xxxxxxxx alebo podobne.

  2. Teraz musíte pridať riadok do /etc/poldi/localdb/users, ktorý obsahuje nasledujúce informácie

    <YourApplicationID> <YourUsername>

    Mohlo by to vyzerať ako ‚D00600012401020000000000xxxxxxxx nitrokeyuser‘. Teraz vypíšte verejný kľúč z Nitrokey do lokálnej db poldi:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie s ID vašej palice!

Potom musíte nakonfigurovať PAM. Stačí pridať „auth sufficient pam_poldi.so“ do konfiguračných súborov pam podľa vašich potrieb:

  • /etc/pam.d/common-auth pre grafické prihlasovanie používateľov

  • /etc/pam.d/login pre prihlásenie do konzoly

  • /etc/pam.d/sudo pre sudo autentifikáciu

  • /etc/pam.d/gnome-screensaver pre spätné prihlásenie zo zamknutej obrazovky,

  • atď.

Poznámka

Pam je nebezpečný na hranie, preto sa uistite, že máte spôsob, ako sa dostať k zariadeniu, ak úplne prerušíte overovanie. Nezabudnite, že naštartovanie do záchranného režimu z Grubu vyžaduje heslo roota, takže ho majte po ruke alebo live CD, ktoré dokáže čítať vaše súborové systémy.

Tu nájdete ďalšie pokyny (v nemčine, čiastočne neaktuálne).

Riešenie problémov#

Ak sa zobrazí chyba podobná ‚ERR 100663414 Invalid ID <SCD>‘, mali by ste namiesto toho skúsiť

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upozorňujeme, že do vyššie uvedeného riadku musíte vložiť svoje ID aplikácie s ID vašej palice!

Kľúče ECC#

Bohužiaľ, poldi zatiaľ nepodporuje kľúče ECC. Existuje však záplata ` pre kľúče ECC používané s Nitrokey Start <https://dev.gnupg.org/T4009>`_. Tento je už zahrnutý v hlavnej vetve vývojového repozitára poldi, a tak bude časom vydaný v novšej verzii. Zatiaľ je jedinou možnosťou zostaviť poldi zo zdrojových kódov.