Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
public:gnupg:gnupg-card_auth [2017/09/12 11:52] – [Nutzung für ssh] jankow@datenkollektiv.netpublic:gnupg:gnupg-card_auth [2020/04/17 11:03] (aktuell) – [Voraussetzungen] jankow@datenkollektiv.net
Zeile 1: Zeile 1:
 ====== Login und Authentifizierung ====== ====== Login und Authentifizierung ======
-===== Login in lokalen Linux-Rechner ===== 
  
-Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.+===== Nutzung für ssh =====
  
-  * http://www.schiessle.org/howto/poldi.php+==== Voraussetzungen ====
  
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:+**Deaktivierung des ssh-agent**
  
-  * http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/+Der gpg-agent ist in der Lage, auch ssh-Authentifizierungen zu erledigen - mit den SSH-Schlüsseln, die im Gnupg-Keyring oder auf einer Karte abgelegt sind. Dafür muss sich der gpg-agent auch um die SSH-Anfragen kümmern. Erledigt wird das über die Umgebungsvariable ''SSH_AUTH_SOCK'' die dann z.B. folgenden Wert haben muss: ''/run/user/1000/gnupg/S.gpg-agent.ssh''.
  
-==== Einrichten des Poldi-Moduls: ====+In diesem Fall darf aber der ssh-agent nicht gestartet werden, da dieser die Umgebungsvariable überschreiben würde.
  
-(alle Kommandos als Root oder mit sudo)+Leider gibt es keine einheitliche Funktionsweise, wie die Desktop-Umgebungen den ssh-agent starten.
  
-Das Packet muss installiert werden: +  * einige werten die ''/etc/X11/Xsession.options'' aus und suchen dort nach der Zeile ''use-ssh-agent'' (xfce4, frühere Versionen, Mate?, Gnome? 
-  apt-get install libpam-poldi+  * andere haben eine eigene Startroutine 
 +  * wieder andere nutzen wohl neuerdings auch den systemd.
  
-<WRAP center round info 60%> +**gnome-keyring-manager darf sich weder für ssh noch für gpg verantwortlich fühlen**
-Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehr. Ein +
-  ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon +
-als Root schafft einfache Abhilfe. +
-</WRAP>+
  
 +Noch komplizieter ist die Lage beim gnome-keyring-manager, der seinerseits wiederum auch eine Funktioalität sowohl für den ssh-agent als auch für den gpg-agent mitbringt. Damit die gnupg-card und die Authentifizierung mit ssh klappt, müssen diese Komponenten deaktiviert sein - bzw. der gnome-keyring-manager darf gar nicht laufen.
  
-Ein+  * [[http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/|http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/]] 
 +  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]] 
 +  * [[https://grepular.com/Smart_Cards_and_SSH_Authentication|https://grepular.com/Smart_Cards_and_SSH_Authentication]]
  
-  poldi-ctrl -d+<WRAP center round tip 60%> Leider hat sich die Interaktion zwischen gnome-keyring-daemon, gpg-agent und ssh-agent in Debian stretch wiederum geändert. Hinweise dazu gibt es hier:
  
-testet, ob die Karte erkannt wird+  * [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=850982|https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=850982]] 
-   +  * [[https://blog.josefsson.org/2017/06/19/openpgp-smartcard-under-gnome-on-debian-9-0-stretch/|https://blog.josefsson.org/2017/06/19/openpgp-smartcard-under-gnome-on-debian-9-0-stretch/]]
-Mit+
  
-  poldi-ctrl -s+In Stretch ist jetzt die user-Session von systemd verantwortlich für den Start des gpg-agent. Die verschiedenen Anleitungen, den gnome-keyring-daemon daran zu hindern, sich für ssh verantwortlich zu fühlen, funktionieren in unseren Setups (unter Mate und Xfce4 allerdings nicht. Der entscheidende Hinweise steht unter ''/usr/share/doc/gnupg-agent/README.Debian'' 
 +</WRAP>
  
-finden wir die Seriennummer der Karte heraus (''gpg --card-status'' würde auch funktionieren). +==== Vorgehen ====
-   +
-Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:+
  
-  echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users+**ssh-Support im gpg-agent konfigurieren**
  
-Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:+<code> 
 +echo "enable-ssh-support">> ~/.gnupg/gpg-agent.conf 
 +</code>
  
-  poldi-ctrl -s > serialno.txt +Gleichzeitig soll verhindert werden, dass der ssh-agent beim Starten einer Desktop-Umgebung startetDazu editieren wir die ''/etc/X11/Xsession.options''  und kommentieren
-  poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt)+
  
-Damit sollte Poldi fertig konfiguriert sein.+<code> 
 +#use-ssh-agent 
 +</code>
  
-==== Einrichten der Authentifizierung ====+aus.
  
 +**Konflikt mit Gnome-Keyring Manager lösen**
  
-Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werdenAlle Authentifikationendie auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches** Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.+In manchen (älteren Umgebungen z.Bxfce4 bis Debian Jessie richt esfolgende Dateien umzubenennen
  
 <code> <code>
---- a/pam.d/common-auth +/etc/xdg/autostart/gnome-keyring-ssh.desktop 
-+++ b/pam.d/common-auth +/etc/xdg/autostart/gnome-keyring-gpg.desktop
-@@ -13,6 +13,8 @@ +
- # pam-auth-update to manage selection of other modules See +
- # pam-auth-update(8) for details. +
-  +
-+# with smartcard +
-+auth sufficient pam_poldi.so +
- # here are the per-package modules (the "Primary" block) +
- auth   [success=1 default=ignore]      pam_unix.so nullok_secure +
- # here's the fallback if no module succeeds+
 </code> </code>
  
 +jeweils um, in dem wir z.B. ein ''.disable''  anhängen. Wir könnten sie theoretisch auch löschen.
  
-====== Login und Authentifizierung ====== +In manchen [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|Howtos]] wird empfohlen
-===== Login in lokalen Linux-Rechner =====+
  
-Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.+<code> 
 +apt-get remove libpam-gnome-keyring 
 +</code>
  
-  * http://www.schiessle.org/howto/poldi.php+zu deinstallierenDas scheint nicht zwingend notwendig.
  
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:+Auch ein
  
-  * http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/+<code> 
 +gconftool---set -t bool /apps/gnome-keyring/daemon-component/ssh false 
 +</code>
  
-==== Einrichten des Poldi-Moduls: ====+wird in anderen Howtos genannt, scheint aber nicht in allen Umgebungen nötig zu sein.
  
-(alle Kommandos als Root oder mit sudo)+==== Einzelne Desktop-Umgebungen ====
  
-Das Packet muss installiert werden: +=== XFCE-Desktop in Debian Stretch ===
-  apt-get install libpam-poldi+
  
-<WRAP center round info 60%> +Da xfce4 den gnome-keyring-Daemon nicht automatisch startet, gibt es hier keine ProblemeLediglich der ssh-agent muss vom Starten abgehalten werden.
-Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehrEin +
-  ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon +
-als Root schafft einfache Abhilfe. +
-</WRAP>+
  
 +Das lässt sich auf User-Ebene mit folgendem Kommando erreichen:
  
-Ein+  xfconf-query -c xfce4-session -p /startup/ssh-agent/enabled -n -t bool -s false
  
-  poldi-ctrl -d+Per Default ist diese Eigenschaft nicht gesetzt.
  
-testetob die Karte erkannt wird. +Klappt alles nichtkann ein
-   +
-Mit+
  
-  poldi-ctrl -s+<code> 
 +SSH_AUTH_SOCK=/run/user/$(id -u)/gnupg/S.gpg-agent.ssh 
 +</code>
  
-finden wir die Seriennummer der Karte heraus (''gpg --card-status'' würde auch funktionieren). +in die ~/.bashrc geschrieben werden. Damit wird die Umgebungsvariable gesetzt, mit dem ssh dann den gpg-agent findet, der für die Authentifizierung zuständig sein soll.
-   +
-Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:+
  
-  echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users+=== Mate-Desktop in Debian Stretch===
  
-Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthältDas geht einfach mit:+Mate scheint den gnome-keyring-manager autonom zu starten - ohne Berücksichtigung der Startskripte unter /etc/xdg/autostart.
  
-  poldi-ctrl -s > serialno.txt +Daher kann Abhilfe auf User-Ebene Abhilfe geschaffen werden:
-  poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt)+
  
-Damit sollte Poldi fertig konfiguriert sein.+<code> 
 +gsettings set org.mate.session gnome-compat-startup "['smproxy']" 
 +</code>
  
-==== Einrichten der Authentifizierung ==== +Sieht man sich vorher mit
- +
- +
-Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches** Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.+
  
 <code> <code>
---- a/pam.d/common-auth +gsettings get org.mate.session gnome-compat-startup
-+++ b/pam.d/common-auth +
-@@ -13,6 +13,8 @@ +
- # pam-auth-update to manage selection of other modules.  See +
- # pam-auth-update(8) for details. +
-  +
-+# with smartcard +
-+auth sufficient pam_poldi.so +
- # here are the per-package modules (the "Primary" block) +
- auth   [success=1 default=ignore]      pam_unix.so nullok_secure +
- # here's the fallback if no module succeeds+
 </code> </code>
  
 +die Einstellungen an, sieht man, dass nun keyring verschwunden ist.
  
-===== Nutzung für ssh =====+Zusätzlich deaktiviert mensch mit
  
 +<code>
 +mate-session-properties
 +</code>
  
-  * http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/ +den Autostart vom "GPG-Passwort-Agent".
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/ +
-  * https://grepular.com/Smart_Cards_and_SSH_Authentication+
  
-Wir müssen ssh-Support im gpg-agent konfigurieren:+Nach dem nächsten Neustart sollte der gpg-agent ohne gnome-keyring-manager funktionieren.
  
-  echo "enable-ssh-support" >> ~/.gnupg/gpg-agent.conf+[[http://william.shallum.net/random-notes/disabling-gnome-keyring-daemon-ssh-agent-on-mate-desktop|http://william.shallum.net/random-notes/disabling-gnome-keyring-daemon-ssh-agent-on-mate-desktop]]
  
-Gleichzeitig soll verhindert werden, dass der ssh-agent beim Starten einer Desktop-Umgebung startet. Dazu editieren wir die ''/etc/X11/Xsession.options'' und kommentieren +==== ssh über mehrere Server (ForwardAgent) ====
  
-  #use-ssh-agent+  * [[http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html|http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html]]
  
-aus.+Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
  
-==== Konflikt mit Gnome-Keyring Manager ====+  * /etc/ssh/ssh_config (sytemweit) 
 +  * /home/user/.ssh/config (per user)
  
-In Gnome-Desktops (auch Mate, Cinnamon), gibt es einen Konflikt zwischen dem gpg-agent und dem gnome-keyring Manager, in dessen Folge der gpg-Agent nicht startet.+<code> 
 +Host * 
 +      ForwardAgent yes 
 +</code>
  
-Um dem Gnome-Keyring-Manager abzugewöhnen, sich für ssh und gpg verantwortlich zu fühlen, benennen wir die Dateien:+Eine ausführliche Beschreibung findet sich hier:
  
-  /etc/xdg/autostart/gnome-keyring-ssh.desktop +  * [[http://www.unixwiz.net/techtips/ssh-agent-forwarding.html|http://www.unixwiz.net/techtips/ssh-agent-forwarding.html]]
-  /etc/xdg/autostart/gnome-keyring-gpg.desktop+
  
-jeweils um, in dem wir z.B. ein ''.disable'' anhängen. Wir könnten sie theoretisch auch löschen.+==== Innerhalb von screen-sessions ====
  
-In manchen [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|Howtos]] wird empfohlen+Hier steht was dazu:
  
-  apt-get remove libpam-gnome-keyring+  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
  
-zu deinstallieren. Das scheint nicht zwingend notwendig.+Aber ab debian-wheezy sollte das out of the box funktionieren.
  
-Auch ein  
- 
-  gconftool-2 --set -t bool /apps/gnome-keyring/daemon-component/ssh true 
- 
-wird in anderen Howtos genannt, scheint aber nicht in allen Umgebungen nötig zu sein. 
 ==== ssh über mehrere Server (ForwardAgent) ==== ==== ssh über mehrere Server (ForwardAgent) ====
  
-  * http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html+  * [[http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html|http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html]]
  
 Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt: Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
- 
  
   * /etc/ssh/ssh_config (sytemweit)   * /etc/ssh/ssh_config (sytemweit)
   * /home/user/.ssh/config (per user)   * /home/user/.ssh/config (per user)
  
-  Host * +<code> 
-        ForwardAgent yes+Host * 
 +      ForwardAgent yes 
 +</code>
  
 Eine ausführliche Beschreibung findet sich hier: Eine ausführliche Beschreibung findet sich hier:
  
-  * http://www.unixwiz.net/techtips/ssh-agent-forwarding.html+  * [[http://www.unixwiz.net/techtips/ssh-agent-forwarding.html|http://www.unixwiz.net/techtips/ssh-agent-forwarding.html]]
  
 ==== Innerhalb von screen-sessions ==== ==== Innerhalb von screen-sessions ====
Zeile 195: Zeile 174:
 Hier steht was dazu: Hier steht was dazu:
  
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/+  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
  
 Aber mit debian-wheezy sollte das out of the box funktinieren. Aber mit debian-wheezy sollte das out of the box funktinieren.
  
-==== Konflikt mit Gnome-Keyring Manager ====+===== Login in lokalen Linux-Rechner =====
  
-In Gnome-Desktops (auch Mate, Cinnamon), gibt es einen Konflikt zwischen dem gpg-agent und dem gnome-keyring Manager, in dessen Folge der gpg-Agent nicht startet.+Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.
  
-Um dem Gnome-Keyring-Manager abzugewöhnen, sich für ssh und gpg verantwortlich zu fühlen, benennen wir die Dateien:+  * [[http://www.schiessle.org/howto/poldi.php|http://www.schiessle.org/howto/poldi.php]]
  
-  /etc/xdg/autostart/gnome-keyring-ssh.desktop +Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existierenFolgendes Information hilft weiter:
-  /etc/xdg/autostart/gnome-keyring-gpg.desktop+
  
-jeweils um, in dem wir z.Bein ''.disable'' anhängen. Wir könnten sie theoretisch auch löschen.+  * [[http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/|http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/]]
  
-In manchen [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|Howtos]] wird empfohlen+==== Einrichten des Poldi-Moduls====
  
-  apt-get remove libpam-gnome-keyring+(alle Kommandos als Root oder mit sudo)
  
-zu deinstallieren. Das scheint nicht zwingend notwendig.+Das Packet muss installiert werden:
  
-Auch ein +<code> 
 +apt-get install libpam-poldi 
 +</code>
  
-  gconftool-2 --set -t bool /apps/gnome-keyring/daemon-component/ssh true+<WRAP center round info 60%> Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehr. Ein
  
-wird in anderen Howtos genannt, scheint aber nicht in allen Umgebungen nötig zu sein. +<code> 
-==== ssh über mehrere Server (ForwardAgent) ====+ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon 
 +</code>
  
-  * http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html+als Root schafft einfache Abhilfe</WRAP>
  
-Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:+Ein
  
 +<code>
 +poldi-ctrl -d
 +</code>
  
-  * /etc/ssh/ssh_config (sytemweit) +testet, ob die Karte erkannt wird.
-  * /home/user/.ssh/config (per user)+
  
-  Host * +Mit
-        ForwardAgent yes+
  
-Eine ausführliche Beschreibung findet sich hier:+<code> 
 +poldi-ctrl -s 
 +</code>
  
-  * http://www.unixwiz.net/techtips/ssh-agent-forwarding.html+finden wir die Seriennummer der Karte heraus (''gpg –card-status''  würde auch funktionieren).
  
-==== Innerhalb von screen-sessions ====+Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:
  
-Hier steht was dazu:+<code> 
 +echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users 
 +</code>
  
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/+Unter /etc/poldi/localdb/keysmuss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:
  
-Aber mit debian-wheezy sollte das out of the box funktinieren.+<code> 
 +poldi-ctrl -s> serialno.txt 
 +poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt) 
 +</code>
  
 +Damit sollte Poldi fertig konfiguriert sein.
 +
 +==== Einrichten der Authentifizierung ====
 +
 +Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches**  Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.
 +
 +<code>
 +--- a/pam.d/common-auth
 ++++ b/pam.d/common-auth
 +@@ -13,6 +13,8 @@
 + # pam-auth-update to manage selection of other modules.  See
 + # pam-auth-update(8) for details.
 +
 ++# with smartcard
 ++auth sufficient pam_poldi.so
 + # here are the per-package modules (the "Primary" block)
 + auth   [success=1 default=ignore]      pam_unix.so nullok_secure
 + # here's the fallback if no module succeeds
 +</code>