3 581
contributi
Autenticazione via token con PAM USB: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
Autenticazione via token con PAM USB (visualizza wikitesto)
Versione delle 13:52, 27 gen 2017
, 27 gen 2017→Installazione
mNessun oggetto della modifica |
m (→Installazione) |
||
| (4 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | {{Versioni compatibili|ONLY|Squeeze|Wheezy|Jessie}} | ||
== Introduzione == | == Introduzione == | ||
L'autenticazione a un servizio del sistema, che si tratti del login a una console o un display manager oppure di una qualunque operazione per cui siano necessari determinati privilegi (<code>su</code>, <code>sudo</code>, ecc... ), è gestita in maniera centralizzata dalla libreria PAM e solitamente effettuata mediante la richiesta di una password associata all'utente. | L'autenticazione a un servizio del sistema, che si tratti del login a una console o un display manager oppure di una qualunque operazione per cui siano necessari determinati privilegi (<code>su</code>, <code>sudo</code>, ecc... ), è gestita in maniera centralizzata dalla libreria PAM e solitamente effettuata mediante la richiesta di una password associata all'utente. | ||
| Riga 10: | Riga 10: | ||
== Installazione == | == Installazione == | ||
Il metodo di installazione varia leggermente tra | Il metodo di installazione varia leggermente tra Debian 6 "Squeeze" e le successive [[Wheezy]] e [[Jessie]]. Infatti è stata rimossa la dipendenza da ''HAL'' utilizzando ''UDisks'' e inoltre viene fornito un profilo di default. | ||
Purtroppo '''pamusb''' non è disponibile per Debian [[Stretch]] e successive, in quanto non è stato aggiornato per funzionare con <code>udisks2</code>, che rimpiazza <code>udisks</code> a partire da Debian Stretch. | |||
=== Usando APT con Debian 6 (Squeeze) === | === Usando APT con Debian 6 (Squeeze) === | ||
| Riga 19: | Riga 21: | ||
Finito! Ora bisogna solo associare la memoria USB agli utenti che si desidera e creare un profilo. | Finito! Ora bisogna solo associare la memoria USB agli utenti che si desidera e creare un profilo. | ||
=== Usando APT con Debian 7 (Wheezy) e | === Usando APT con Debian 7 (Wheezy) e Debian 8 (Jessie) === | ||
Anche per queste distribuzioni è sufficiente installare due pacchetti, solo che <code>pamusb-common</code> sostituisce il precedente <code>pamusb-tools</code>, che in '''Wheezy''' e successive è solo un metapacchetto presente per permettere un aggiornamento indolore, quindi installiamo direttamente il primo: | Anche per queste distribuzioni è sufficiente installare due pacchetti, solo che <code>pamusb-common</code> sostituisce il precedente <code>pamusb-tools</code>, che in '''Wheezy''' e successive è solo un metapacchetto presente per permettere un aggiornamento indolore, quindi installiamo direttamente il primo: | ||
| Riga 33: | Riga 35: | ||
Si può utilizzare la stessa per più utenti, anche se la cosa ha senso unicamente se a tali utenti del sistema corrisponde un unico utente fisico, e anche per più utenti di più sistemi, purché con hostname diverso (e per cui ancor più vale la stessa considerazione). | Si può utilizzare la stessa per più utenti, anche se la cosa ha senso unicamente se a tali utenti del sistema corrisponde un unico utente fisico, e anche per più utenti di più sistemi, purché con hostname diverso (e per cui ancor più vale la stessa considerazione). | ||
{{Suggerimento | Non è necessario riservarla a tale utilizzo e può essere impiegata anche per altro, date le limitate esigenze di memoria di ''libpam-usb'', ma non è una buona idea per la sicurezza inserire il token quando non richiesto per l'autenticazione, in particolar modo se si prevede che la sua presenza sia sufficiente per l'esecuzione di comandi con [[privilegi di | {{Suggerimento | Non è necessario riservarla a tale utilizzo e può essere impiegata anche per altro, date le limitate esigenze di memoria di ''libpam-usb'', ma non è una buona idea per la sicurezza inserire il token quando non richiesto per l'autenticazione, in particolar modo se si prevede che la sua presenza sia sufficiente per l'esecuzione di comandi con [[privilegi di amministrazione]].}} | ||
Inserire la pendrive nella porta USB e darle un nome che ci consenta di identificarla, inserendolo al posto di NOME: | Inserire la pendrive nella porta USB e darle un nome che ci consenta di identificarla, inserendolo al posto di NOME: | ||
| Riga 43: | Riga 45: | ||
Nuovamente verrà richiesta una conferma, e in caso si siano aggiunte più chiavette si potrà scegliere quale associare all'utente scelto. Per una guida passo-passo alla configurazione si veda al solito l'e-zine. | Nuovamente verrà richiesta una conferma, e in caso si siano aggiunte più chiavette si potrà scegliere quale associare all'utente scelto. Per una guida passo-passo alla configurazione si veda al solito l'e-zine. | ||
Se si desidera disabilitare l'output, che in caso di autenticazione via console o terminale rende chiaro se il modulo USB è stato autenticato o meno, modificare con [[privilegi di | Se si desidera disabilitare l'output, che in caso di autenticazione via console o terminale rende chiaro se il modulo USB è stato autenticato o meno, modificare con [[privilegi di amministrazione]] i defaults nel file <code>/etc/pamusb.conf</code>, aggiungendoci la riga con <code>'''<option name="quiet">true</option>'''</code>: | ||
<pre><defaults> | <pre><defaults> | ||
<option name="quiet">true</option> | <option name="quiet">true</option> | ||
| Riga 54: | Riga 56: | ||
Se si utilizza '''Debian Wheezy''' o una più recente, si possiede già il profilo per la '''Alternative mode'''. Non è quindi necessario fare alcunché e si può passare direttamente alla fase di test, salvo si voglia un'altra modalità. | Se si utilizza '''Debian Wheezy''' o una più recente, si possiede già il profilo per la '''Alternative mode'''. Non è quindi necessario fare alcunché e si può passare direttamente alla fase di test, salvo si voglia un'altra modalità. | ||
Se la modalità di default non va bene o si utilizza '''Debian Squeeze''', va scelta la policy da adottare tra quelle presentate nelle sottosezioni successive. Si tratta poi di modificare (o di creare con '''Squeeze''') con [[privilegi di | Se la modalità di default non va bene o si utilizza '''Debian Squeeze''', va scelta la policy da adottare tra quelle presentate nelle sottosezioni successive. Si tratta poi di modificare (o di creare con '''Squeeze''') con [[privilegi di amministrazione]] e il proprio editor preferito il file <code>/usr/share/pam-configs/usb</code> con il contenuto scelto. | ||
{{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione. | {{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione. | ||