Autenticazione via token con PAM USB: differenze tra le versioni

Autenticazione via token con PAM USB (visualizza wikitesto)

Versione delle 20:00, 26 nov 2011

5 byte aggiunti , 26 nov 2011

m

→‎Creazione di un profilo

HAL 9000

3 581

contributi

@@ Riga 50: / Riga 50: @@
 Scelta la policy da adottare tra quelle presentate nelle sottosezioni successive, si tratta di creare con privilegi di amministrazione e il proprio editor preferito il file '''/usr/share/pam-configs/usb''' con il contenuto corrispondente.
+{{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione.
+In caso di problemi per bypassare il modulo l'unico modo sarà durante l'avvio, scegliendo la modalità singolo utente messa a disposizione da ''grub''.}}
 Sarà il profilo utilizzato per la generazione automatica dei file di configurazione di default di PAM (''/etc/pam.d/common-*''), che non modificheremo manualmente. Per una veloce introduzione sul suo funzionamento, si consideri a titolo esemplificativo il seguente profilo:
@@ Riga 67: / Riga 73: @@
 * ''Auth-Type'' può essere ''Primary'' o ''Additional''. Nel primo caso viene eseguito solo se l'autenticazione non è già stata provvista da un altro modulo (purché sufficiente), nel secondo a prescindere ma non contribuirà all'esito dell'autenticazione. Le priorità tra i due tipi sono risolte separatamente e per i nostri usi andrà sempre bene ''Primary'';
 * infine ''Auth'' indica se considerare l'autenticazione del modulo sufficiente (con ''sufficient'') se tutti quelle con priorità maggiore non falliscono, oppure se considerarla un requisito necessario (con ''required'') e richiama il modulo ''pam_usb.so'' (eventualmente passandoci anche dei parametri). È la parte più importante e quella che siamo interessati a modificare.
-{{Warningbox | Tutti gli utenti per cui è richiesta - e non solo sufficiente - questa forma di autenticazione devono essere aggiunti a una pendrive USB, oppure non potranno più autenticarsi al sistema. Lo stesso root, se abilitato, non fa eccezione.
-In caso di problemi per bypassare il modulo l'unico modo sarà durante l'avvio, scegliendo la modalità singolo utente messa a disposizione da ''grub''.}}
@@ Riga 86: / Riga 87: @@
 Auth:
      sufficient      pam_usb.so</pre>
 === Additional mode ===
@@ Riga 100: / Riga 102: @@
 {{Suggerimento | Utilizzare ''requisite'' in luogo di ''required'' per non chiedere la password in caso di fallimento. Con ''required'' tuttavia non si riuscirà a capire quale modulo ha fallito ed è l'impostazione più sicura.}}
 === Unique mode ===
@@ Riga 117: / Riga 120: @@
 In luogo di ''sufficient'' e ''requisite'' per le due modalità già viste si è utilizzata una forma intermedia, che salta l'esecuzione delle regole rimanenti tanto in caso di successo (''success=done'') che di fallimento (''default=die''), in modo che l'autenticazione dipenda soltanto da questo modulo. Per maggiori dettagli si veda il manuale (''man pam.d'').
 === Custom mode ===
@@ Riga 136: / Riga 140: @@
 Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.
 {{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.