Prijava s programom PAM#
Kako nastaviti prijavo#
Na voljo sta dve možnosti: pam_p11 ali PAM Poldi.
Rešitev z pam_p11 je težje izvedljiva in temelji na potrdilih S/MIME. Za več informacij si oglejte dokumentacijo.
PAM Poldi 0.4.1 brezhibno deluje z Nitrokeyjem za preverjanje pristnosti PAM s ključi RSA (za informacije o ključih ECC glejte Odpravljanje težav). Poleg namestitve Poldija (npr. sudo apt-get install libpam-poldi
v Ubuntuju) so za njegovo delovanje potrebni naslednji koraki.
V sistemu Nitrokey je treba imeti že ustvarjene ključe, saj ključ za preverjanje pristnosti uporablja sistem PAM.
Najprej morate ugotoviti ID aplikacije v ključu Nitrokey. Izgleda kot
D00600012401020000000000xxxxxxxx
ali podobno.
gpg --card-status | grep Application
Zdaj morate v
/etc/poldi/localdb/users
dodati vrstico, ki vsebuje naslednje informacije<YourApplicationID> <YourUsername>
.To lahko izgleda kot
D00600012401020000000000xxxxxxxx nitrokeyuser
. Zdaj prenesite javni ključ iz Nitrokeyja v Poldisovo lokalno db:
sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Upoštevajte, da morate v zgornjo vrstico vnesti ID aplikacije z ID vašega ključa Nitrokey!
Nato morate konfigurirati PAM. Preprosto dodajte auth sufficient pam_poldi.so
v konfiguracijske datoteke PAM v skladu s svojimi potrebami:
/etc/pam.d/common-auth
za grafično prijavo uporabnika
/etc/pam.d/login
za prijavo v konzolo
/etc/pam.d/sudo
za sudo avtentikacijo
/etc/pam.d/gnome-screensaver
za prijavo nazaj iz zaklenjenega zaslonain druge datoteke v
/etc/pam.d
Opomba
Igranje s PAM-om je nevarno, zato poskrbite, da boste imeli dostop do računalnika, če boste popolnoma prekinili preverjanje pristnosti. Ne pozabite, da je za zagon v reševalni način iz GRUB-a potrebno geslo korena, zato imejte pri roki to geslo ali živo zgoščenko, ki lahko bere vaše datotečne sisteme.
Tukaj najdete dodatna navodila (v nemščini, delno zastarela).
Odpravljanje težav#
Če se pojavi napaka, podobna napaki ERR 100663414 Invalid ID <SCD>
, morate namesto tega poskusiti
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Upoštevajte, da morate v zgornjo vrstico vnesti svojo identifikacijsko številko prijave z identifikacijsko številko svoje palice!
Ključi ECC#
Žal Poldi še ne podpira ključev ECC. Obstaja pa popravek za ključe ECC, ki se uporabljajo z Nitrokey Start. Ta je že vključen v glavno vejo razvojnega repozitorija Poldi in bo tako sčasoma objavljen v novejši različici. Do takrat je edina možnost, da Poldi sestavite iz izvorne kode.