Logga in med PAM#

(Nitrokey HSM 2 - Linux)

Hur du ställer in inloggningen#

Du har två alternativ: pam_p11 eller Poldi.

Lösningen med pam_p11 är svårare att uppnå och bygger på S/MIME-certifikat. Ta en titt på dokumentationen för mer information.

Poldi 0.4.1 fungerar utan problem med Nitrokey för PAM-autentisering med RSA-nycklar (se Felsökning för information om ECC-nycklar). Förutom installationen av poldi (t.ex. sudo apt-get install libpam-poldi på Ubuntu) krävs följande steg för att få det att fungera.

Det är nödvändigt att redan ha genererat nycklar på Nitrokey, eftersom autentiseringsnyckeln används av PAM.

  1. Först måste du ta reda på din Nitrokeys ”Application ID”. Du kan använda gpg --card-status | grep Application för att ta reda på vad som är ditt. Det ser ut som D00600012401020000000000xxxxxxxx eller liknande.

  2. Nu måste du lägga till en rad i /etc/poldi/localdb/users som innehåller följande information

    <YourApplicationID> <YourUsername>

    Det kan se ut som ’D006000124010200000000000000xxxxxxxx nitrokeyuser’. Dumpa nu den offentliga nyckeln från Nitrokey till poldi local db:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Observera att du måste ange ditt ansöknings-ID på raden ovan tillsammans med din pinne!

Därefter måste du konfigurera PAM. Lägg bara till ”auth sufficient pam_poldi.so” i pam-konfigurationsfilerna enligt dina behov:

  • /etc/pam.d/common-auth för grafisk användarinloggning

  • /etc/pam.d/login för konsolinloggning

  • /etc/pam.d/sudo för sudoautentisering

  • /etc/pam.d/gnome-screensaver för inloggning från en låst skärm,

  • osv.

Observera

Pam är farligt att leka med, så se till att du har ett sätt att komma åt maskinen om du bryter mot autentiseringen helt och hållet. Kom ihåg att det krävs ett root-lösenord för att starta upp i räddningsläge från Grub, så ha det eller en live-cd som kan läsa dina filsystem till hands.

Här hittar du ` ytterligare instruktioner <http://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`_ (på tyska, delvis inaktuella).

Felsökning#

Om du får ett fel som liknar ’ERR 100663414 Invalid ID <SCD>’ bör du försöka istället

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Observera att du måste ange ditt ansöknings-ID på raden ovan tillsammans med din pinne!

ECC-nycklar#

Tyvärr har poldi ännu inget stöd för ECC-nycklar. Men det finns en patch för ECC-nycklar som används med Nitrokey Start. Denna ingår redan i mastergrenen i poldi development repository och kommer därför att släppas i en nyare version så småningom. Under tiden är det enda alternativet att bygga poldi från källkoden.