3 581
contributi
Autenticazione via token con PAM USB: differenze tra le versioni
Autenticazione via token con PAM USB (visualizza wikitesto)
Versione delle 20:05, 8 apr 2015
, 8 apr 2015nessun oggetto della modifica
mNessun oggetto della modifica |
mNessun oggetto della modifica |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili | {{Versioni compatibili}} | ||
== Introduzione == | == Introduzione == | ||
L'autenticazione a un servizio del sistema, che si tratti del login a una console o un display manager oppure di una qualunque operazione per cui siano necessari determinati privilegi (<code>su</code>, <code>sudo</code>, ecc... ), è gestita in maniera centralizzata dalla libreria PAM e solitamente effettuata mediante la richiesta di una password associata all'utente. | L'autenticazione a un servizio del sistema, che si tratti del login a una console o un display manager oppure di una qualunque operazione per cui siano necessari determinati privilegi (<code>su</code>, <code>sudo</code>, ecc... ), è gestita in maniera centralizzata dalla libreria PAM e solitamente effettuata mediante la richiesta di una password associata all'utente. | ||
| Riga 11: | Riga 10: | ||
== Installazione == | == Installazione == | ||
Il metodo di installazione varia leggermente tra '''Debian Squeeze''' e le successive '''Wheezy''', '''Jessie''' e '''Sid'''. Infatti è stata rimossa la dipendenza da ''HAL'' utilizzando ''UDisks'' e inoltre viene fornito un profilo di default. | Il metodo di installazione varia leggermente tra '''Debian Squeeze''' e le successive '''Wheezy''', '''Jessie''' e '''Sid'''. Infatti è stata rimossa la dipendenza da ''HAL'' utilizzando ''UDisks'' e inoltre viene fornito un profilo di default. | ||
=== Usando APT con Debian Squeeze === | === Usando APT con Debian Squeeze === | ||
È sufficiente installare due pacchetti: | È sufficiente installare due pacchetti: | ||
| Riga 23: | Riga 20: | ||
=== Usando APT con Debian Wheezy, Jessie e Sid === | === Usando APT con Debian Wheezy, Jessie e Sid === | ||
Anche per queste distribuzioni è sufficiente installare due pacchetti, solo che <code>pamusb-common</code> sostituisce il precedente <code>pamusb-tools</code>, che in '''Wheezy''' e successive è solo un metapacchetto presente per permettere un aggiornamento indolore, quindi installiamo direttamente il primo: | Anche per queste distribuzioni è sufficiente installare due pacchetti, solo che <code>pamusb-common</code> sostituisce il precedente <code>pamusb-tools</code>, che in '''Wheezy''' e successive è solo un metapacchetto presente per permettere un aggiornamento indolore, quindi installiamo direttamente il primo: | ||
| Riga 33: | Riga 29: | ||
== Configurazione di pamusb == | == Configurazione di pamusb == | ||
L'unico requisito è la disponibilità di una penna USB, nella quale verranno salvate le password richieste per l'autenticazione nella sessione successiva. | L'unico requisito è la disponibilità di una penna USB, nella quale verranno salvate le password richieste per l'autenticazione nella sessione successiva. | ||
| Riga 57: | Riga 52: | ||
== Creazione di un profilo == | == Creazione di un profilo == | ||
Se si utilizza '''Debian Wheezy''' o una più recente, si possiede già il profilo per la '''Alternative mode'''. Non è quindi necessario fare alcunché e si può passare direttamente alla fase di test, salvo si voglia un'altra modalità. | Se si utilizza '''Debian Wheezy''' o una più recente, si possiede già il profilo per la '''Alternative mode'''. Non è quindi necessario fare alcunché e si può passare direttamente alla fase di test, salvo si voglia un'altra modalità. | ||
| Riga 84: | Riga 78: | ||
=== Alternative mode === | === Alternative mode === | ||
Modalità di autenticazione che prevede la richiesta di password soltanto se il token USB non è inserito. È possibile permetterla soltanto a un insieme limitato di utenti, visto che il fallimento dell'autenticazione via USB non compromette l'autenticazione, ma porta solo alla richiesta della password. | Modalità di autenticazione che prevede la richiesta di password soltanto se il token USB non è inserito. È possibile permetterla soltanto a un insieme limitato di utenti, visto che il fallimento dell'autenticazione via USB non compromette l'autenticazione, ma porta solo alla richiesta della password. | ||
| Riga 97: | Riga 90: | ||
=== Additional mode === | === Additional mode === | ||
Modalità che prevede la richiesta contemporanea di password e l'inserimento della penna USB. | Modalità che prevede la richiesta contemporanea di password e l'inserimento della penna USB. | ||
| Riga 112: | Riga 104: | ||
=== Unique mode === | === Unique mode === | ||
Modalità che prevede soltanto l'autenticazione via token USB. | Modalità che prevede soltanto l'autenticazione via token USB. | ||
| Riga 129: | Riga 120: | ||
=== Custom mode === | === Custom mode === | ||
Modalità personalizzata, che consente l'uso di una modalità ''Alternative'' o ''Additional'' a seconda dell'utente. Quella qui presentata richiede entrambe le forme di autenticazione per root, mentre una qualsiasi per gli altri utenti. | Modalità personalizzata, che consente l'uso di una modalità ''Alternative'' o ''Additional'' a seconda dell'utente. Quella qui presentata richiede entrambe le forme di autenticazione per root, mentre una qualsiasi per gli altri utenti. | ||
| Riga 150: | Riga 140: | ||
== Salvare la configurazione == | == Salvare la configurazione == | ||
Per rendere effettive le modifiche, una volta scelta la policy più adatta per le nostre esigenze o creata una personalizzata, sarà sufficiente eseguire il seguente comando: | Per rendere effettive le modifiche, una volta scelta la policy più adatta per le nostre esigenze o creata una personalizzata, sarà sufficiente eseguire il seguente comando: | ||
| Riga 156: | Riga 145: | ||
Se è deselezionata, spuntare la casella di "USB authentication", lasciare le altre come sono e confermare su "Ok". Verranno rigenerati i file con prefisso "<code>common-</code>" nella directory <code>/etc/pam.d</code>, richiamati da (quasi) tutti gli altri file di configurazione. | Se è deselezionata, spuntare la casella di "USB authentication", lasciare le altre come sono e confermare su "Ok". Verranno rigenerati i file con prefisso "<code>common-</code>" nella directory <code>/etc/pam.d</code>, richiamati da (quasi) tutti gli altri file di configurazione. | ||
== Test di funzionamento == | == Test di funzionamento == | ||
Per controllare se abbiamo fatto giusto, usiamo <code>pamusb-check</code> e il nome utente da verificare al posto di NOME_UTENTE: | Per controllare se abbiamo fatto giusto, usiamo <code>pamusb-check</code> e il nome utente da verificare al posto di NOME_UTENTE: | ||
| Riga 171: | Riga 158: | ||
== Disattivazione == | == Disattivazione == | ||
È sufficiente eseguire '''pam-auth-update''': | È sufficiente eseguire '''pam-auth-update''': | ||
<pre># pam-auth-update</pre> | <pre># pam-auth-update</pre> | ||
| Riga 177: | Riga 163: | ||
== Disinstallazione == | == Disinstallazione == | ||
Per eliminare i pacchetti installati dal sistema è prima necessario ripristinare (in '''Debian Wheezy''' e successive contiene il profilo della '''Alternative mode''') o rimuovere il file <code>/usr/share/pam-configs/usb</code>, annullando le modifiche effettuate in fase di configurazione, e aggiornare PAM. | Per eliminare i pacchetti installati dal sistema è prima necessario ripristinare (in '''Debian Wheezy''' e successive contiene il profilo della '''Alternative mode''') o rimuovere il file <code>/usr/share/pam-configs/usb</code>, annullando le modifiche effettuate in fase di configurazione, e aggiornare PAM. | ||
| Riga 186: | Riga 171: | ||
=== APT con Debian Squeeze === | === APT con Debian Squeeze === | ||
<pre># apt-get remove libpam-usb pamusb-tools</pre> | <pre># apt-get remove libpam-usb pamusb-tools</pre> | ||
| Riga 193: | Riga 177: | ||
=== APT con Debian Wheezy, Jessie e Sid === | === APT con Debian Wheezy, Jessie e Sid === | ||
<pre># apt-get remove libpam-usb pamusb-common</pre> | <pre># apt-get remove libpam-usb pamusb-common</pre> | ||
| Riga 200: | Riga 183: | ||
=== Pulizia del sistema === | === Pulizia del sistema === | ||
Per completare l'opera di pulizia del sistema si possono eliminare manualmente anche la directory <code>.pamusb</code> nella home di tutti gli utenti aggiunti a questo modulo. | Per completare l'opera di pulizia del sistema si possono eliminare manualmente anche la directory <code>.pamusb</code> nella home di tutti gli utenti aggiunti a questo modulo. | ||
== Fonti e link aggiuntivi == | == Fonti e link aggiuntivi == | ||
* [https://github.com/aluzzardi/pam_usb Sito ufficiale del modulo pamusb] | * [https://github.com/aluzzardi/pam_usb Sito ufficiale del modulo pamusb] | ||
* [http://e-zine.debianizzati.org/web-zine/numero_4/?page=48 Articolo sull'e-zine n. 4 di debianizzati] | * [http://e-zine.debianizzati.org/web-zine/numero_4/?page=48 Articolo sull'e-zine n. 4 di debianizzati] | ||
| Riga 211: | Riga 192: | ||
{{Autori | {{Autori | ||
|Autore = [[Utente:HAL 9000|HAL 9000]] | |Autore = [[Utente:HAL 9000|HAL 9000]] 11:28, 9 dic 2011 (CEST) | ||
}} | }} | ||
[[Categoria:Debian e sicurezza]] | [[Categoria:Debian e sicurezza]] | ||