PAM¶
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
Hur du ställer in inloggningen¶
Du har två alternativ: pam_p11 eller PAM Poldi.
Lösningen med pam_p11 är svårare att uppnå och bygger på S/MIME-certifikat. Ta en titt på dokumentationen för mer information.
PAM Poldi 0.4.1 fungerar utan problem med Nitrokey för PAM-autentisering med RSA-nycklar (se Felsökning för information om ECC-nycklar). Förutom installationen av Poldi (t.ex. sudo apt-get install libpam-poldi
på Ubuntu) krävs följande steg för att få det att fungera.
Det är nödvändigt att redan ha genererat nycklar på Nitrokey, eftersom autentiseringsnyckeln används av PAM.
Först måste du ta reda på ditt applikations-ID för din Nitrokey. Det ser ut som eller liknar
D00600012401020000000000xxxxxxxx
.gpg --card-status | grep Application
Nu måste du lägga till en rad till
/etc/poldi/localdb/users
som innehåller följande information<YourApplicationID> <YourUsername>
.Det kan se ut som
D00600012401020000000000xxxxxxxx nitrokeyuser
. Dumpa nu den offentliga nyckeln från Nitrokey till Poldis lokala databas:sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'
Observera att du måste ange ditt program-ID på raden ovan tillsammans med din Nitrokey!
Därefter måste du konfigurera PAM. Lägg bara till
auth sufficient pam_poldi.so
i PAM-konfigurationsfilerna enligt dina behov:/etc/pam.d/common-auth
för grafisk inloggning/etc/pam.d/login
för inloggning till konsolen/etc/pam.d/sudo
för sudo-autentisering/etc/pam.d/gnome-screensaver
för att logga tillbaka från en låst skärmoch andra filer i
/etc/pam.d
Observera
PAM är farligt att leka med, så se till att du har ett sätt att komma åt maskinen om du bryter autentiseringen helt och hållet. Kom ihåg att det krävs ett root-lösenord för att starta upp i räddningsläge från GRUB, så ha det eller en live-cd som kan läsa dina filsystem till hands.
Här hittar du ` ytterligare instruktioner <https://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`__ (på tyska, delvis föråldrad).
Felsökning¶
Om du får ett fel som liknar ERR 100663414 Invalid ID <SCD>
bör du försöka istället
poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys
Observera att du måste ange ditt ansöknings-ID på raden ovan tillsammans med din pinne!
ECC-nycklar¶
Tyvärr har Poldi ännu inget stöd för ECC-nycklar. Men det finns en patch för ECC-nycklar som används med Nitrokey Start. Denna finns redan med i mastergrenen i Poldi-utvecklingsförrådet och kommer därför att släppas i en nyare version så småningom. Under tiden är det enda alternativet att bygga Poldi från källkoden.