Autenticazione via token con PAM USB: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
m
Riga 49: Riga 49:


Scelta la policy da adottare tra quelle presentate nelle sottosezioni successive, si tratta di creare con privilegi di amministrazione e il proprio editor preferito il file '''/usr/share/pam-configs/usb''' con il contenuto corrispondente.
Scelta la policy da adottare tra quelle presentate nelle sottosezioni successive, si tratta di creare con privilegi di amministrazione e il proprio editor preferito il file '''/usr/share/pam-configs/usb''' con il contenuto corrispondente.


{{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione.
{{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione.


In caso di problemi per bypassare il modulo l'unico modo sarà durante l'avvio, scegliendo la modalità singolo utente messa a disposizione da ''grub''.}}
In caso di problemi per bypassare il modulo l'unico modo sarà durante l'avvio, scegliendo la modalità singolo utente messa a disposizione da ''grub''.}}


Sarà il profilo utilizzato per la generazione automatica dei file di configurazione di default di PAM (''/etc/pam.d/common-*''), che non modificheremo manualmente. Per una veloce introduzione sul suo funzionamento, si consideri a titolo esemplificativo il seguente profilo:
Sarà il profilo utilizzato per la generazione automatica dei file di configurazione di default di PAM (''/etc/pam.d/common-*''), che non modificheremo manualmente. Per una veloce introduzione sul suo funzionamento, si consideri a titolo esemplificativo il seguente profilo:
Riga 72: Riga 70:
* ''Auth-Type'' può essere ''Primary'' o ''Additional''. Nel primo caso viene eseguito solo se l'autenticazione non è già stata provvista da un altro modulo (purché sufficiente), nel secondo a prescindere ma non contribuirà all'esito dell'autenticazione. Le priorità tra i due tipi sono risolte separatamente e per i nostri usi andrà sempre bene ''Primary'';
* ''Auth-Type'' può essere ''Primary'' o ''Additional''. Nel primo caso viene eseguito solo se l'autenticazione non è già stata provvista da un altro modulo (purché sufficiente), nel secondo a prescindere ma non contribuirà all'esito dell'autenticazione. Le priorità tra i due tipi sono risolte separatamente e per i nostri usi andrà sempre bene ''Primary'';
* infine ''Auth'' indica se considerare l'autenticazione del modulo sufficiente (con ''sufficient'') se tutti quelle con priorità maggiore non falliscono, oppure se considerarla un requisito necessario (con ''required'') e richiama il modulo ''pam_usb.so'' (eventualmente passandoci anche dei parametri). È la parte più importante e quella che siamo interessati a modificare.
* infine ''Auth'' indica se considerare l'autenticazione del modulo sufficiente (con ''sufficient'') se tutti quelle con priorità maggiore non falliscono, oppure se considerarla un requisito necessario (con ''required'') e richiama il modulo ''pam_usb.so'' (eventualmente passandoci anche dei parametri). È la parte più importante e quella che siamo interessati a modificare.


=== Alternative mode ===
=== Alternative mode ===
Riga 86: Riga 83:
Auth:
Auth:
     sufficient      pam_usb.so</pre>
     sufficient      pam_usb.so</pre>


=== Additional mode ===
=== Additional mode ===
Riga 101: Riga 97:


{{Suggerimento | Utilizzare ''requisite'' in luogo di ''required'' per non chiedere la password in caso di fallimento. Con ''required'' tuttavia non si riuscirà a capire quale modulo ha fallito ed è l'impostazione più sicura.}}
{{Suggerimento | Utilizzare ''requisite'' in luogo di ''required'' per non chiedere la password in caso di fallimento. Con ''required'' tuttavia non si riuscirà a capire quale modulo ha fallito ed è l'impostazione più sicura.}}


=== Unique mode ===
=== Unique mode ===
Riga 119: Riga 114:


In luogo di ''sufficient'' e ''requisite'' per le due modalità già viste si è utilizzata una forma intermedia, che salta l'esecuzione delle regole rimanenti tanto in caso di successo (''success=done'') che di fallimento (''default=die''), in modo che l'autenticazione dipenda soltanto da questo modulo. Per maggiori dettagli si veda il manuale (''man pam.d'').
In luogo di ''sufficient'' e ''requisite'' per le due modalità già viste si è utilizzata una forma intermedia, che salta l'esecuzione delle regole rimanenti tanto in caso di successo (''success=done'') che di fallimento (''default=die''), in modo che l'autenticazione dipenda soltanto da questo modulo. Per maggiori dettagli si veda il manuale (''man pam.d'').


=== Custom mode ===
=== Custom mode ===
Riga 139: Riga 133:


Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.
Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.


{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.
{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.
3 581

contributi

Menu di navigazione