Logga in med PAM#

(Nitrokey HSM 2 - Linux)

Hur du ställer in inloggningen#

Du har två alternativ: pam_p11 eller PAM Poldi.

Lösningen med pam_p11 är svårare att uppnå och bygger på S/MIME-certifikat. Ta en titt på dokumentationen för mer information.

PAM Poldi 0.4.1 fungerar utan problem med Nitrokey för PAM-autentisering med RSA-nycklar (se Felsökning för information om ECC-nycklar). Förutom installationen av Poldi (t.ex. sudo apt-get install libpam-poldi på Ubuntu) krävs följande steg för att få det att fungera.

Det är nödvändigt att redan ha genererat nycklar på Nitrokey, eftersom autentiseringsnyckeln används av PAM.

  1. Först måste du ta reda på ditt applikations-ID för din Nitrokey. Det ser ut som eller liknar D00600012401020000000000xxxxxxxx.

gpg --card-status | grep Application
  1. Nu måste du lägga till en rad till /etc/poldi/localdb/users som innehåller följande information <YourApplicationID> <YourUsername>.

    Det kan se ut som D00600012401020000000000xxxxxxxx nitrokeyuser. Dumpa nu den offentliga nyckeln från Nitrokey till Poldis lokala databas:

sudo sh -c 'gpg-connect-agent "/datafile /etc/poldi/localdb/keys/<YourApplicationID>" "SCD READKEY --advanced OPENPGP.3" /bye'

Observera att du måste ange ditt program-ID på raden ovan tillsammans med din Nitrokey!

Därefter måste du konfigurera PAM. Lägg bara till auth sufficient pam_poldi.so i PAM-konfigurationsfilerna enligt dina behov:

  • /etc/pam.d/common-auth för grafisk inloggning

  • /etc/pam.d/login för inloggning till konsolen

  • /etc/pam.d/sudo för sudo-autentisering

  • /etc/pam.d/gnome-screensaver för att logga tillbaka från en låst skärm

  • och andra filer i /etc/pam.d

Observera

PAM är farligt att leka med, så se till att du har ett sätt att komma åt maskinen om du bryter autentiseringen helt och hållet. Kom ihåg att det krävs ett root-lösenord för att starta upp i räddningsläge från GRUB, så ha det eller en live-cd som kan läsa dina filsystem till hands.

Här hittar du ` ytterligare instruktioner <https://wiki.ubuntuusers.de/Archiv/Authentifizierung_OpenPGP_SmartCard>`__ (på tyska, delvis föråldrad).

Felsökning#

Om du får ett fel som liknar ERR 100663414 Invalid ID <SCD> bör du försöka istället

poldi-ctrl -k > <YourApplicationID>; sudo mv <YourApplicationID> /etc/poldi/localdb/keys

Observera att du måste ange ditt ansöknings-ID på raden ovan tillsammans med din pinne!

ECC-nycklar#

Tyvärr har Poldi ännu inget stöd för ECC-nycklar. Men det finns en patch för ECC-nycklar som används med Nitrokey Start. Denna finns redan med i mastergrenen i Poldi-utvecklingsförrådet och kommer därför att släppas i en nyare version så småningom. Under tiden är det enda alternativet att bygga Poldi från källkoden.