Authentifizierung mit USB-Stick
Fehlendes Makro
Das Makro „InArbeit“ konnte nicht gefunden werden.
Fehlendes Makro
Das Makro „Ausbaufaehig“ konnte nicht gefunden werden.
Fehlendes Makro
Das Makro „Getestet“ konnte nicht gefunden werden.
Fehlendes Makro
Das Makro „Fortgeschritten“ konnte nicht gefunden werden.
* [1]: [:Pakete installieren: Installation von Programmen] * [2]: [:Terminal: Ein Terminal öffnen] * [3]: [:Editor: Einen Editor öffnen] * [4]: [:Programme kompilieren: Pakete aus dem Quellcode erstellen] * [5]: [:Packprogramme: Archive entpacken]
Übersicht¶
PAM steht für Pluggable Authentication Modules. Durch die Nutzung von PAM-Modulen ist man in der Lage verschiedene Authentifizierungsmechanismen unter Linux zu implementieren. Zum Beispiel: Kerberus, LDAP, Public-Key-Authentication, Smartcards.
Das hier vorgestellte PAM-Modul ermöglicht den Benutzer sich mit einem handelsüblichen USB-Stick am System zu Authentifizieren.
Installation¶
Für die Kompilierung von pamusb müssen folgende Pakete installiert werden:
libncurses5-dev libreadline5-dev libssl-dev libpam0g-dev libxml2-dev libhal-storage-dev
Die aktuelle Version von pamusb kann hier http://www.pamusb.org/ heruntergeladen werden.
Nach dem Entpacken von pamusb in das vom Paket erstellte Verzeichnis wechseln und mit
sudo make sudo make install
kompilieren und installieren.
Konfiguration¶
Um nun mit der Konfiguration fortzufahren, ist es notwendig den USB-Stick anzustöpseln.
USB-Stick hinzufügen¶
Mit pamusb-conf kann nun der der USB-Stick der/etc/pamusb.conf hinzugefügt werden. Dazu ist folgender Befehl notwendig:
sudo pamusb-conf --add-device MeinStick Please select the device you wish to add. * Using "Philips USB Flash Drive (XXXXXXXXXXXXXXXX)" (only option) Which volume would you like to use for storing data ? * Using "/dev/sdb1 (UUID: E8ED-3F91)" (only option) Name : MeinStick Vendor : Philips Model : USB Flash Drive Serial : XXXXXXXXXXXXXXXX UUID : E8ED-3F91 Save to /etc/pamusb.conf ? [Y/n] Y Done.
Die Frage ob die Daten der /etc/pamusb.conf hinzugefügt werden sollen, bestätigen man mit Y. Um weitere USB-Sticks der Konfiguration hinzuzufügen ist der Befehl zu wiederholen.
Benutzer hinzufügen¶
Mit pamusb-conf kann nun der /etc/pamusb.conf ein Benutzer hinzugefügt werden.
sudo pamusb-conf --add-user benutzer Which device would you like to use for authentication ? * Using "MeinStick" (only option) User : benutzer Device : MeinStick Save to /etc/pamusb.conf ? [Y/n] Y Done.
Die Frage ob der Benutzer der /etc/pamusb.conf hinzugefügt werden soll, bestätigen man mit Y. Um weitere USB-Sticks der Konfiguration hinzuzufügen ist der Befehl zu wiederholen.
Um zu Prüfen ob die alles richtig Angelegt wurde nutzen man den Befehl pamusb-check, der die Authentifizierung simmuliert.
pamusb-check benutzer * Authentication request for user "benutzer" (pamusb-check) * Device "MeinStick" is connected (good). * Performing one time pad verification... * Verification match, updating one time pads... * Access granted.
Konfiguration der Authentifizierung¶
Um nun die Authentifizierung zu Aktivieren muss die Datei common-auth im Verzeichnis /etc/pam.d/ angepasst werden. Dazu öffnet man die Datei mit einem Editor und ändert den Inhalt der Datei
Von:
auth required pam_unix.so nullok_secure
In:
auth required pam_usb.so auth required pam_unix.so nullok_secure
Ab jetzt ist eine Anmeldung am System nur noch mit dem Benutzer-Kennwort und dem USB-Stick möglich. Dies kann man Testen in einem Terminal
sudo -i Password: root@bernie:~#
Nach der Eingabe des Passwortes sind sie nun root.
Die Datei /var/log/auth.log zeigt die korrekte Authentifizierung mit dem Kennwort und dem USB-Stick an
tail -n 5 /var/log/auth.log Jul 15 20:45:44 bernie pam_usb[6732]: pam_usb v0.4.1 Jul 15 20:45:44 bernie pam_usb[6732]: Authentication request for user "benutzer" (sudo) Jul 15 20:45:44 bernie pam_usb[6732]: Device "MeinStick" is connected (good). Jul 15 20:45:44 bernie pam_usb[6732]: Access granted. Jul 15 20:45:48 bernie sudo: benutzer : TTY=pts/0 ; PWD=/ ; USER=root ; COMMAND=/bin/bash