Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:gnupg:gnupg-card_auth [2017/09/14 10:20] – jankow@datenkollektiv.net
+++ public:gnupg:gnupg-card_auth [2020/04/17 11:03] (aktuell) – [Voraussetzungen] jankow@datenkollektiv.net
@@ Zeile 1: / Zeile 1: @@
 ====== Login und Authentifizierung ======
-===== Login in lokalen Linux-Rechner =====
+===== Nutzung für ssh =====
-Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.
+==== Voraussetzungen ====
-  * [[http://www.schiessle.org/howto/poldi.php|http://www.schiessle.org/howto/poldi.php]]
+**Deaktivierung des ssh-agent**
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:
+Der gpg-agent ist in der Lage, auch ssh-Authentifizierungen zu erledigen - mit den SSH-Schlüsseln, die im Gnupg-Keyring oder auf einer Karte abgelegt sind. Dafür muss sich der gpg-agent auch um die SSH-Anfragen kümmern. Erledigt wird das über die Umgebungsvariable ''SSH_AUTH_SOCK'' die dann z.B. folgenden Wert haben muss: ''/run/user/1000/gnupg/S.gpg-agent.ssh''.
-  * [[http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/|http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/]]
+In diesem Fall darf aber der ssh-agent nicht gestartet werden, da dieser die Umgebungsvariable überschreiben würde.
-==== Einrichten des Poldi-Moduls: ====
+Leider gibt es keine einheitliche Funktionsweise, wie die Desktop-Umgebungen den ssh-agent starten.
-(alle Kommandos als Root oder mit sudo)
+  * einige werten die ''/etc/X11/Xsession.options'' aus - und suchen dort nach der Zeile ''use-ssh-agent'' (xfce4, frühere Versionen, Mate?, Gnome?
+  * andere haben eine eigene Startroutine
+  * wieder andere nutzen wohl neuerdings auch den systemd.
-Das Packet muss installiert werden:
+**gnome-keyring-manager darf sich weder für ssh noch für gpg verantwortlich fühlen**
-<code>
+Noch komplizieter ist die Lage beim gnome-keyring-manager, der seinerseits wiederum auch eine Funktioalität sowohl für den ssh-agent als auch für den gpg-agent mitbringt. Damit die gnupg-card und die Authentifizierung mit ssh klappt, müssen diese Komponenten deaktiviert sein - bzw. der gnome-keyring-manager darf gar nicht laufen.
-apt-get install libpam-poldi
-</code>
-<WRAP center round info 60%> Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehr. Ein
+  * [[http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/|http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/]]
+  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
-<code>
+  * [[https://grepular.com/Smart_Cards_and_SSH_Authentication|https://grepular.com/Smart_Cards_and_SSH_Authentication]]
-ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon
-</code>
-als Root schafft einfache Abhilfe. </WRAP>
-Ein
-<code>
-poldi-ctrl -d
-</code>
-testet, ob die Karte erkannt wird.
-Mit
-<code>
-poldi-ctrl -s
-</code>
-finden wir die Seriennummer der Karte heraus (''gpg –card-status''  würde auch funktionieren).
-Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:
-<code>
-echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users
-</code>
-Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:
-<code>
-poldi-ctrl -s> serialno.txt
-poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt)
-</code>
-Damit sollte Poldi fertig konfiguriert sein.
-==== Einrichten der Authentifizierung ====
-Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches**  Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.
-<code>
---- a/pam.d/common-auth
-+++ b/pam.d/common-auth
-@@ -13,6 +13,8 @@
- # pam-auth-update to manage selection of other modules.  See
- # pam-auth-update(8) for details.
-+# with smartcard
-+auth sufficient pam_poldi.so
- # here are the per-package modules (the "Primary" block)
- auth   [success=1 default=ignore]      pam_unix.so nullok_secure
- # here's the fallback if no module succeeds
-</code>
-====== Login und Authentifizierung ======
-===== Login in lokalen Linux-Rechner =====
-Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.
-  * [[http://www.schiessle.org/howto/poldi.php|http://www.schiessle.org/howto/poldi.php]]
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:
-  * [[http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/|http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/]]
-==== Einrichten des Poldi-Moduls: ====
-(alle Kommandos als Root oder mit sudo)
-Das Packet muss installiert werden:
-<code>
-apt-get install libpam-poldi
-</code>
-<WRAP center round info 60%> Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehr. Ein
-<code>
-ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon
-</code>
-als Root schafft einfache Abhilfe. </WRAP>
-Ein
-<code>
-poldi-ctrl -d
-</code>
-testet, ob die Karte erkannt wird.
-Mit
-<code>
-poldi-ctrl -s
-</code>
-finden wir die Seriennummer der Karte heraus (''gpg –card-status''  würde auch funktionieren).
-Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:
-<code>
-echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users
-</code>
-Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:
-<code>
-poldi-ctrl -s> serialno.txt
-poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt)
-</code>
-Damit sollte Poldi fertig konfiguriert sein.
-==== Einrichten der Authentifizierung ====
-Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches**  Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.
-<code>
---- a/pam.d/common-auth
-+++ b/pam.d/common-auth
-@@ -13,6 +13,8 @@
- # pam-auth-update to manage selection of other modules.  See
- # pam-auth-update(8) for details.
-+# with smartcard
-+auth sufficient pam_poldi.so
- # here are the per-package modules (the "Primary" block)
- auth   [success=1 default=ignore]      pam_unix.so nullok_secure
- # here's the fallback if no module succeeds
-</code>
-===== Nutzung für ssh =====
 <WRAP center round tip 60%> Leider hat sich die Interaktion zwischen gnome-keyring-daemon, gpg-agent und ssh-agent in Debian stretch wiederum geändert. Hinweise dazu gibt es hier:
@@ Zeile 163: / Zeile 29: @@
   * [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=850982|https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=850982]]
   * [[https://blog.josefsson.org/2017/06/19/openpgp-smartcard-under-gnome-on-debian-9-0-stretch/|https://blog.josefsson.org/2017/06/19/openpgp-smartcard-under-gnome-on-debian-9-0-stretch/]]
-  *
 In Stretch ist jetzt die user-Session von systemd verantwortlich für den Start des gpg-agent. Die verschiedenen Anleitungen, den gnome-keyring-daemon daran zu hindern, sich für ssh verantwortlich zu fühlen, funktionieren in unseren Setups (unter Mate und Xfce4 allerdings nicht. Der entscheidende Hinweise steht unter ''/usr/share/doc/gnupg-agent/README.Debian''
+</WRAP>
-Für xfce und mate muss daher ein
+==== Vorgehen ====
-<code>
-SSH_AUTH_SOCK=/run/user/$(id -u)/gnupg/S.gpg-agent.ssh
-</code>
-in die ~/.bashrc geschrieben werden. Damit wird die Umgebungsvariable gesetzt, mit dem ssh dann den gpg-agent findet, der für die Authentifizierung zuständig sein soll. </WRAP>
-  * [[http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/|http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/]]
-  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
-  * [[https://grepular.com/Smart_Cards_and_SSH_Authentication|https://grepular.com/Smart_Cards_and_SSH_Authentication]]
-Wir müssen ssh-Support im gpg-agent konfigurieren:
+**ssh-Support im gpg-agent konfigurieren**
 <code>
@@ Zeile 193: / Zeile 49: @@
 aus.
-==== Konflikt mit Gnome-Keyring Manager ====
+**Konflikt mit Gnome-Keyring Manager lösen**
-In Gnome-Desktops (auch Mate, Cinnamon), gibt es einen Konflikt zwischen dem gpg-agent und dem gnome-keyring Manager, in dessen Folge der gpg-Agent nicht startet.
+In manchen (älteren Umgebungen - z.B. xfce4 bis Debian Jessie richt es, folgende Dateien umzubenennen
-Um dem Gnome-Keyring-Manager abzugewöhnen, sich für ssh und gpg verantwortlich zu fühlen, benennen wir die Dateien:
 <code>
@@ Zeile 217: / Zeile 71: @@
 <code>
-gconftool-2 --set -t bool /apps/gnome-keyring/daemon-component/ssh true
+gconftool-2 --set -t bool /apps/gnome-keyring/daemon-component/ssh false
 </code>
 wird in anderen Howtos genannt, scheint aber nicht in allen Umgebungen nötig zu sein.
-=== Mate-Desktop ===
+==== Einzelne Desktop-Umgebungen ====
-Dieses vorgehen scheint mit Mate-Desktop nicht zu funktionieren, weil der mate-session-manager standardmäßig den gnome-keyring-manager startet - unabhängig von den Einträgen in /etc/xdg/autostart.
+=== XFCE-Desktop in Debian Stretch ===
-Abhilfe schafft auf User-Ebene:
+Da xfce4 den gnome-keyring-Daemon nicht automatisch startet, gibt es hier keine Probleme. Lediglich der ssh-agent muss vom Starten abgehalten werden.
+Das lässt sich auf User-Ebene mit folgendem Kommando erreichen:
+  xfconf-query -c xfce4-session -p /startup/ssh-agent/enabled -n -t bool -s false
+Per Default ist diese Eigenschaft nicht gesetzt.
+Klappt alles nicht, kann ein
+<code>
+SSH_AUTH_SOCK=/run/user/$(id -u)/gnupg/S.gpg-agent.ssh
+</code>
+in die ~/.bashrc geschrieben werden. Damit wird die Umgebungsvariable gesetzt, mit dem ssh dann den gpg-agent findet, der für die Authentifizierung zuständig sein soll.
+=== Mate-Desktop in Debian Stretch===
+Mate scheint den gnome-keyring-manager autonom zu starten - ohne Berücksichtigung der Startskripte unter /etc/xdg/autostart.
+Daher kann Abhilfe auf User-Ebene Abhilfe geschaffen werden:
 <code>
@@ Zeile 276: / Zeile 150: @@
   * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
-Aber mit debian-wheezy sollte das out of the box funktinieren.
+Aber ab debian-wheezy sollte das out of the box funktionieren.
-==== Konflikt mit Gnome-Keyring Manager ====
+==== ssh über mehrere Server (ForwardAgent) ====
-In Gnome-Desktops (auch Mate, Cinnamon), gibt es einen Konflikt zwischen dem gpg-agent und dem gnome-keyring Manager, in dessen Folge der gpg-Agent nicht startet.
+  * [[http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html|http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html]]
-Um dem Gnome-Keyring-Manager abzugewöhnen, sich für ssh und gpg verantwortlich zu fühlen, benennen wir die Dateien:
+Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
+  * /etc/ssh/ssh_config (sytemweit)
+  * /home/user/.ssh/config (per user)
 <code>
-/etc/xdg/autostart/gnome-keyring-ssh.desktop
+Host *
-/etc/xdg/autostart/gnome-keyring-gpg.desktop
+      ForwardAgent yes
 </code>
-jeweils um, in dem wir z.B. ein ''.disable''  anhängen. Wir könnten sie theoretisch auch löschen.
+Eine ausführliche Beschreibung findet sich hier:
-In manchen [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|Howtos]] wird empfohlen
+  * [[http://www.unixwiz.net/techtips/ssh-agent-forwarding.html|http://www.unixwiz.net/techtips/ssh-agent-forwarding.html]]
+==== Innerhalb von screen-sessions ====
+Hier steht was dazu:
+  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
+Aber mit debian-wheezy sollte das out of the box funktinieren.
+===== Login in lokalen Linux-Rechner =====
+Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.
+  * [[http://www.schiessle.org/howto/poldi.php|http://www.schiessle.org/howto/poldi.php]]
+Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:
+  * [[http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/|http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/]]
+==== Einrichten des Poldi-Moduls: ====
+(alle Kommandos als Root oder mit sudo)
+Das Packet muss installiert werden:
 <code>
-apt-get remove libpam-gnome-keyring
+apt-get install libpam-poldi
 </code>
-zu deinstallieren. Das scheint nicht zwingend notwendig.
+<WRAP center round info 60%> Unter Debian Jessie findet poldi das Binary von scdaemon nicht mehr. Ein
-Auch ein
+<code>
+ln -s /usr/lib/gnupg2/scdaemon /usr/bin/scdaemon
+</code>
+als Root schafft einfache Abhilfe. </WRAP>
+Ein
 <code>
-gconftool-2 --set -t bool /apps/gnome-keyring/daemon-component/ssh true
+poldi-ctrl -d
 </code>
-wird in anderen Howtos genannt, scheint aber nicht in allen Umgebungen nötig zu sein.
+testet, ob die Karte erkannt wird.
-==== ssh über mehrere Server (ForwardAgent) ====
+Mit
-  * [[http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html|http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html]]
+<code>
+poldi-ctrl -s
+</code>
-Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
+finden wir die Seriennummer der Karte heraus (''gpg –card-status''  würde auch funktionieren).
-  * /etc/ssh/ssh_config (sytemweit)
+Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:
-  * /home/user/.ssh/config (per user)
 <code>
-Host *
+echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users
-      ForwardAgent yes
 </code>
-Eine ausführliche Beschreibung findet sich hier:
+Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:
-  * [[http://www.unixwiz.net/techtips/ssh-agent-forwarding.html|http://www.unixwiz.net/techtips/ssh-agent-forwarding.html]]
+<code>
+poldi-ctrl -s> serialno.txt
+poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/$(cat serialno.txt)
+</code>
-==== Innerhalb von screen-sessions ====
+Damit sollte Poldi fertig konfiguriert sein.
-Hier steht was dazu:
+==== Einrichten der Authentifizierung ====
-  * [[http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/|http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/]]
+Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches**  Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.
-Aber mit debian-wheezy sollte das out of the box funktinieren.
+<code>
+--- a/pam.d/common-auth
++++ b/pam.d/common-auth
+@@ -13,6 +13,8 @@
+ # pam-auth-update to manage selection of other modules.  See
+ # pam-auth-update(8) for details.
++# with smartcard
++auth sufficient pam_poldi.so
+ # here are the per-package modules (the "Primary" block)
+ auth   [success=1 default=ignore]      pam_unix.so nullok_secure
+ # here's the fallback if no module succeeds
+</code>