Identifikace PAM

Většina linuxových systémů silně využívá PAM framework k identifikaci. PKI hardware pomocí OpenSC lze použít s PAM, takže Vám umožní využít Vaše karty PKI pro konzolové přihlášení v Linuxu, což odstraní nutnost pamatovat si množství hesel pro mnoho strojů, nebo i GDM/Xscreensaver k přihlášení do Xwindows atd. bez nutnosti pamatovat si dlouhá hesla a přitom mít větší zabezpečení, protože nyní potřebujete mít k přihlášení ještě fyzické zařízení. Vzhledem k vlastnostem PAM můžete nyní požadovat, aby byla vložena karta PKI a hesla vůbec zakázána, nebo máte volbu použít kartu PKI, je-li k dispozici, a umožnit i zadání hesla jako poslední možnosti.

Před jakoukoli akcí je dobré vytvořit si seznam certifikátů, kterými se budete přihlašovat, jinak se může stát, že si uzamknete přístup do svého systému, což by bylo opravdu špatné. :)

Pro každého uživatele a jeho seznam povolených certifikátů potřebujete spustit příkaz:

mkdir ~username/.eid
pkcs15-tool -r 45 > ~username/.eid/authorized_certificates
chown -R username:username ~username/.eid

Dále potřebujete upravit soubor: /etc/pam.d/common-auth; před úpravou by měl vypadat asi takto:

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    required        pam_unix.so nullok_secure

Abyste si svůj PKI hardware napřed vyzkoušel(a) s možností vrátit se k heslům, upravte soubor common-auth:

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    sufficient      pam_opensc.so
auth    required        pam_unix.so nullok_secure

Legenda:

Nebo budete přijímat přihlašování pouze přes PKI hardware:

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    required        pam_opensc.so


PamAuthentication/CZ (last edited 2015-12-15 11:53:09 by AlesKastner)