Søk:

Smartkort-login

Du kan logge inn på bokser i smartcard-gruppen i cfengine (dvs. bokser med USB-kortlesere; foreløpig kun senere) med et smartkort i stedet for passordet ditt. (Mer presist; smartkortet dekoder passordet for deg, slik at du slipper å skrive det selv – du må mao. fortsatt skrive brukernavn, og all annen operasjon er lik som om du skrev passord i utgangspunktet.)

Systemet fungerer for nesten alt som bruker PAM (ikke xlock, av en eller annen grunn, dog) – gdm, login og sudo er antageligvis det folk vil bruke mest.

Smartkort får du kjøpt via Kernel concepts, eller du kan spørre om Tollef har flere igjen.

Initialisering av smartkortet

Før du kan bruke smartkortet, må du ha en GPG-nøkkel på det. Du kan ikke legge din vanlige GPG-nøkkel på kortet, da det kun takler 1024-bits RSA-nøkler (og du sannsynligvis har en DH-nøkkel), men du kan legge til en ekstra såkalt "subkey" på nøkkelen din. Resten av dokumentet vil anta du allerede har en eksisterende GPG-nøkkel; hvis ikke, lag en først, det er alltids nyttig å ha en uansett. :-)

Sjekk at kortet virker vha. gpg –card-status (du trenger pakkene opensc og libpcsclite-dev installert i tillegg til gnupg=; dersom du er på en Samfundet-boks med smartkort-støtte finnes disse allerede). Deretter kjører du =gpg –card-edit for å initialisere kortet første gang. Skriv admin og videre name for å personalisere kortet ditt.

MERK: Du vil bli spurt om Admin-PIN og PIN. Default Admin-PIN er 12345678, og default PIN er 123456. Dersom du skriver Admin-PIN feil tre ganger på rad, er kortet ditt ødelagt! Pass på at det blir riktig :-) Du kan ikke sette PIN til noe kortere enn seks tall, og du kan ikke fjerne den helt. (Merk: Dersom du vil logge inn med kortet, er du nødt til å gjøre PIN-en din offentlig uansett, så du kan nesten like gjerne sette den til 123456. Mister du kortet, har du tapt :-) )

Skriv save for å gå ut, og så gpg –edit-key <nøkkel-IDen din>. Herfra gjør du gencardkey og velger å lage en signaturnøkkel. (Denne må du ha først av alt uansett.) Merk: Det hender at kortet gir feilmeldinger som "generic failure" o.l. under generering; hvis dette skjer, ta kortet ut og inn igjen og prøv på nytt. Når du har laget signaturnøkkel, gjør gencardkey igjen og velg en krypteringsnøkkel. Når du er ferdig, skriv save for å avslutte (ellers får du aldri brukt nøklene dine :-) ).

På dette tidspunktet kan det være en god idé å laste opp den nye nøkkelen din til subkeys.pgp.net. Maskinen vil automatisk velge den nyeste subkeyen når den skal signere eller dekryptere; hvis dette er feil, se på opsjonen "default-secret-key" i man gnupg (du ønsker sannsynligvis at den skal være hoved-nøkkel-IDen din med et utropstegn hvis du ikke ønsker å bruke smartkortet til vanlig GPG-bruk).

ITK-lokalt oppsett

Hele systemet baserer seg på at kortet ditt kan låse opp passordet. (Heimdal vil få støtte for public-key-kryptografi etter hvert vha. PKINIT-patchene, men dette er ikke akkurat vidt støttet ennå.) På cassarossa ligger det et område i /etc/cfengine/etc/.itksc. Innenfor denne legger du en katalog kalt opp etter Kerberos-principalen din (brukernavn@SAMFUNDET.NO) der du skal legge følgende ting:

• pin, som er en fil som inneholder din sekssifrede PIN. (Ja, den blir offentliggjort slik. Hvis du ikke liker det, ikke bruk systemet.)
• password.gpg, som er ditt eget Kerberos-passord kryptert til din egen GPG-nøkkel (echo passord | gpg -r <nøkkel-ID> –encrypt > password.gpg)
• En =gnupg=-katalog, som inneholder en skjelettkatalog for secret-keyen din. Merk at denne ikke inneholder den vanlige hemmelige nøkkelen din! Alt secring.gpg skal inneholde, er secret-key-innslaget for smartkort-subnøkkelen din, som essensielt sett bare er en peker til "nøkkelen ligger på smartkortet". Den enkleste måten å generere denne katalogen på er å gjøre "gpg –export-secret-subkey <subkey-ID> > smartkort-subkey.gpg" og så "gpg –import smartkort-subkey.gpg" på en maskin du ikke har noe .gnupg-område på, for så å kopiere hele .gnupg-katalogen som blir opprettet, hit. En alternativ måte er å kjøre "gpg –keyserver subkeys.pgp.net <public-key>" og så gjøre "gpg –card-status" (alt på en maskin der du ikke allerede har en .gnupg-katalog). GPG vil da opprette stub-nøkkelen som trengs.

Sjekk at rettighetene er riktig! Du vil ikke at folk med lokal login skal kunne bruke smartkortet ditt helt uten videre. 0640 og eierskap til deg selv (og gruppen root) er fint.

Deretter er det bare å la cfengine diste ut den nye katalogen, sette smartkortet ditt inn i en leser og så skrive brukernavnet ditt på login. Dersom det hele går i orden, blir du automatisk logget inn etter at du har skrevet brukernavnet ditt.

Merk: Om det er noe galt med oppsettet ditt, kan det være du bare får "autentisering feilet" direkte. Ta ut smartkortet, så kan du logge inn med passord som vanlig.

Husk å ta bort smartkortet når du går fra maskinen! Får folk det, har de i praksis kontoen din og GPG-nøkkelen din. :-)

Lenker: Start, gammel dokumentasjon

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2006-03-22 08:10 | Revisjon: 3 (historie, blame) | Totalt: 1880 kB | Rediger