Prijava s programom PAM#

(Nitrokey Pro 2 - Linux)

Kako nastaviti prijavo#

Na voljo sta dve možnosti: pam_p11 ali PAM Poldi.

Rešitev z pam_p11 je težje izvedljiva in temelji na potrdilih S/MIME. Za več informacij si oglejte dokumentacijo.

PAM Poldi 0.4.1 brezhibno deluje z Nitrokeyjem za preverjanje pristnosti PAM s ključi RSA (za informacije o ključih ECC glejte Odpravljanje težav). Poleg namestitve Poldija (npr. sudo apt-get install libpam-poldi v Ubuntuju) so za njegovo delovanje potrebni naslednji koraki.

V sistemu Nitrokey je treba imeti že ustvarjene ključe, saj ključ za preverjanje pristnosti uporablja sistem PAM.

  1. Najprej morate ugotoviti ID aplikacije v ključu Nitrokey. Izgleda kot D00600012401020000000000xxxxxxxx ali podobno.

gpg --card-status | grep Application
  1. Zdaj morate v /etc/poldi/localdb/users dodati vrstico, ki vsebuje naslednje informacije <YourApplicationID> <YourUsername>.

    To lahko izgleda kot D00600012401020000000000xxxxxxxx nitrokeyuser. Zdaj prenesite javni ključ iz Nitrokeyja v Poldisovo lokalno db:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Upoštevajte, da morate v zgornjo vrstico vnesti ID aplikacije z ID vašega ključa Nitrokey!

Nato morate konfigurirati PAM. Preprosto dodajte auth sufficient pam_poldi.so v konfiguracijske datoteke PAM v skladu s svojimi potrebami:

  • /etc/pam.d/common-auth za grafično prijavo uporabnika

  • /etc/pam.d/login za prijavo v konzolo

  • /etc/pam.d/sudo za sudo avtentikacijo

  • /etc/pam.d/gnome-screensaver za prijavo nazaj iz zaklenjenega zaslona

  • in druge datoteke v /etc/pam.d

Opomba

Igranje s PAM-om je nevarno, zato poskrbite, da boste imeli dostop do računalnika, če boste popolnoma prekinili preverjanje pristnosti. Ne pozabite, da je za zagon v reševalni način iz GRUB-a potrebno geslo korena, zato imejte pri roki to geslo ali živo zgoščenko, ki lahko bere vaše datotečne sisteme.

Tukaj najdete dodatna navodila (v nemščini, delno zastarela).

Odpravljanje težav#

Če se pojavi napaka, podobna napaki ERR 100663414 Invalid ID <SCD>, morate namesto tega poskusiti

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upoštevajte, da morate v zgornjo vrstico vnesti svojo identifikacijsko številko prijave z identifikacijsko številko svoje palice!

Ključi ECC#

Žal Poldi še ne podpira ključev ECC. Obstaja pa popravek za ključe ECC, ki se uporabljajo z Nitrokey Start. Ta je že vključen v glavno vejo razvojnega repozitorija Poldi in bo tako sčasoma objavljen v novejši različici. Do takrat je edina možnost, da Poldi sestavite iz izvorne kode.