PAM

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Skladiščenje Nitrokey 2

Kako nastaviti prijavo

Na voljo sta dve možnosti: pam_p11 ali PAM Poldi.

Rešitev z pam_p11 je težje izvedljiva in temelji na potrdilih S/MIME. Za več informacij si oglejte dokumentacijo.

PAM Poldi 0.4.1 brezhibno deluje z Nitrokeyjem za preverjanje pristnosti PAM s ključi RSA (za informacije o ključih ECC glejte Odpravljanje težav). Poleg namestitve Poldija (npr. sudo apt-get install libpam-poldi v Ubuntuju) so za njegovo delovanje potrebni naslednji koraki.

V sistemu Nitrokey je treba imeti že ustvarjene ključe, saj ključ za preverjanje pristnosti uporablja sistem PAM.

  1. Najprej morate ugotoviti ID aplikacije v ključu Nitrokey. Izgleda kot D00600012401020000000000xxxxxxxx ali podobno.

    gpg --card-status | grep Application

  2. Zdaj morate v /etc/poldi/localdb/users dodati vrstico, ki vsebuje naslednje informacije <YourApplicationID> <YourUsername>.

    To lahko izgleda kot D00600012401020000000000xxxxxxxx nitrokeyuser. Zdaj prenesite javni ključ iz Nitrokeyja v Poldisovo lokalno db:

    sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

    Upoštevajte, da morate v zgornjo vrstico vnesti ID aplikacije z ID vašega ključa Nitrokey!

    Nato morate konfigurirati PAM. Preprosto dodajte auth sufficient pam_poldi.so v konfiguracijske datoteke PAM v skladu s svojimi potrebami:

    • /etc/pam.d/common-auth za grafično prijavo uporabnika

    • /etc/pam.d/login za prijavo v konzolo

    • /etc/pam.d/sudo za sudo avtentikacijo

    • /etc/pam.d/gnome-screensaver za prijavo nazaj iz zaklenjenega zaslona

    • in druge datoteke v /etc/pam.d

    Opomba

    Igranje s PAM-om je nevarno, zato poskrbite, da boste imeli dostop do računalnika, če boste popolnoma prekinili preverjanje pristnosti. Ne pozabite, da je za zagon v reševalni način iz GRUB-a potrebno geslo korena, zato imejte pri roki to geslo ali živo zgoščenko, ki lahko bere vaše datotečne sisteme.

Tukaj najdete dodatna navodila (v nemščini, delno zastarela).

Odpravljanje težav

Če se pojavi napaka, podobna napaki ERR 100663414 Invalid ID <SCD>, morate namesto tega poskusiti

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Upoštevajte, da morate v zgornjo vrstico vnesti svojo identifikacijsko številko prijave z identifikacijsko številko svoje palice!

Ključi ECC

Žal Poldi še ne podpira ključev ECC. Obstaja pa popravek za ključe ECC, ki se uporabljajo z Nitrokey Start. Ta je že vključen v glavno vejo razvojnega repozitorija Poldi in bo tako sčasoma objavljen v novejši različici. Do takrat je edina možnost, da Poldi sestavite iz izvorne kode.