Prijava s programom PAM#

(Nitrokey Storage 2 - Linux)

Kako nastaviti prijavo#

Imate dve možnosti: pam_p11 ali Poldi.

Rešitev z pam_p11 je težje izvedljiva in temelji na potrdilih S/MIME. Za več informacij si oglejte dokumentacijo.

Poldi 0.4.1 deluje brezhibno z Nitrokeyjem za preverjanje pristnosti PAM s ključi RSA (za informacije o ključih ECC glejte Odpravljanje težav). Poleg namestitve programa poldi (npr. sudo apt-get install libpam-poldi v Ubuntuju) so za njegovo delovanje potrebni naslednji koraki.

V sistemu Nitrokey je treba imeti že ustvarjene ključe, saj ključ za preverjanje pristnosti uporablja sistem PAM.

  1. Najprej morate ugotoviti „ID aplikacije“ vašega ključa Nitrokey. Uporabite lahko gpg --card-status | grep Application, da ugotovite, kateri je vaš. Izgleda kot D00600012401020000000000xxxxxxxx ali podobno.

  2. Zdaj morate v /etc/poldi/localdb/users dodati vrstico, ki vsebuje naslednje informacije

    <YourApplicationID> <YourUsername>

    To je lahko videti kot ‚D00600012401020000000000xxxxxxxx nitrokeyuser‘. Zdaj prenesite javni ključ iz Nitrokeyja v lokalno db poldi:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Upoštevajte, da morate v zgornjo vrstico vnesti svojo identifikacijsko številko prijave z identifikacijsko številko svoje palice!

Nato morate konfigurirati PAM. V konfiguracijske datoteke pam dodajte „auth sufficient pam_poldi.so“ v skladu s svojimi potrebami:

  • /etc/pam.d/common-auth za grafično prijavo uporabnika

  • /etc/pam.d/login za prijavo v konzolo

  • /etc/pam.d/sudo za sudo avtentikacijo

  • /etc/pam.d/gnome-screensaver za prijavo iz zaklenjenega zaslona,

  • itd.

Opomba

Pam je nevaren za igranje, zato se prepričajte, da imate način za dostop do naprave, če popolnoma prekinete avtentikacijo. Ne pozabite, da je za zagon v reševalni način iz Gruba potrebno geslo root, zato imejte pri roki to geslo ali živo zgoščenko, ki lahko bere vaše datotečne sisteme.

Tukaj najdete dodatna navodila (v nemščini, delno zastarela).

Odpravljanje težav#

Če se pojavi napaka, podobna napaki ‚ERR 100663414 Invalid ID <SCD>‘, morate namesto tega poskusiti

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upoštevajte, da morate v zgornjo vrstico vnesti svojo identifikacijsko številko prijave z identifikacijsko številko svoje palice!

Ključi ECC#

Na žalost program poldi še ne podpira ključev ECC. Obstaja pa ` popravek za ključe ECC, ki se uporabljajo z Nitrokey Start <https://dev.gnupg.org/T4009>`_. Ta je že vključen v glavno vejo razvojnega skladišča poldi in bo zato sčasoma objavljen v novejši različici. Do takrat je edina možnost, da poldi sestavite iz izvorne kode.