[[Vorlage(Getestet, )]] {{{#!vorlage Wissen [:Pakete installieren: Installation von Programmen] [:sudo:Root-Rechte] [:Editor: Einen Editor öffnen] [:Terminal: Ein Terminal öffnen] }}} [[Inhaltsverzeichnis(2)]] [[Bild(./fprint-logo.png, 100, align=left)]] [freedesktop-software:fprint:] ist ein Projekt, das die Authentisierung mittels Fingerabdruck am PC ermöglicht. Es setzt sich zusammen aus einer Anwendung, die die Verwaltung der Fingerabdrücke vornimmt und einem [wikipedia:Pluggable_Authentication_Modules:PAM-Modul], welches sich in die Authentisierungs-Infrastruktur des Rechners einbinden lässt. {{{#!vorlage Hinweis Das Projekt fprint unterstützt nicht alle Fingerabdruckleser. Vor der Installation sollte man prüfen, ob der eigene überhaupt mit der Bibliothek '''libfprint''' funktioniert, siehe dazu: [#Getestete-Hardware Getestete Hardware] Mögliche Alternativen sind [:Fingerprint-GUI:] (einige weitere Geräte von UPEK) und [:Archiv/ThinkFinger:ThinkFinger] (ein Gerät von SGS Thomson). }}} = Installation = fprint kann aus den Standard-Paketquellen installiert [1] werden: == Ubuntu 22.04 oder älter == {{{#!vorlage Paketinstallation fprintd, universe libfprint0, universe libpam-fprintd, universe fprint-demo, universe, optional, Grafische Oberfläche }}} == Ab Ubuntu 22.10 == ''fprint-demo'' und ''libfprint0'' existieren nicht mehr. {{{#!vorlage Paketinstallation fprintd, universe libfprint-2-2, universe libpam-fprintd, universe }}} == Weitere Konfiguration == {{{#!vorlage Warnung Änderungen am Login-Mechanismus können dazu führen, dass man sich nicht mehr am System anmelden kann. Gegebenenfalls müssen die vorgenommenen Änderungen an Konfigurationsdateien mittels einer Live-CD oder ''Recovery-Modus'' rückgängig gemacht werden. }}} Um das PAM-Modul zur aktivieren, editiert man mit Root-Rechten[2] die '''/etc/pam.d/common-auth'''-Datei[3] und trägt die folgende Zeile ein - sie muss als erste Zeile im `Primary`-Block eingesetzt werden: {{{ auth sufficient /lib/x86_64-linux-gnu/security/pam_fprintd.so }}} Alternativ kann mit dem Befehl {{{#!vorlage Befehl sudo pam-auth-update }}} eine grafische Auswahl aufgerufen werden. Hier muss der Eintrag '''Fingerprint authentication''' ausgewählt und der Dialog per Enter bestätigt werden. = Anwendung = == Kommandozeile == Unter [:Trusty:] wird ein Fingerabdruck mit folgendem Befehl[4] eingescannt und einem Benutzer zugeordnet: {{{#!vorlage Befehl fprintd-enroll -f FINGER BENUTZERNAME }}} `FINGER` gibt an, welcher Finger eingelesen wird, mögliche Werte sind: * `left-thumb` (linker Daumen) * `left-index-finger `(linker Zeigefinger) * `left-middle-finger` (linker Mittelfinger) * `left-ring-finger` (linker Ringfinger) * `left-little-finger` (linker kleiner Finger) * `right-thumb`(rechter Daumen) * `right-index-finger` (rechter Zeigefinger) * `right-middle-finger` (rechter Mittelfinger) * `right-ring-finger` (rechter Ringfinger) * `right-little-finger` (rechter kleiner Finger) `BENUTZERNNAME` gibt den Benutzer an, für den der Fingerabdruck eingescannt wird. Ab sofort steht der eingescannte Finger für die Anmeldung am System, sowie für die Identifikation bei der Nutzung von [:sudo:] zur Verfügung. == Grafische Oberfläche == [[Bild(./fprint-demo-1.png, 300, right)]] Unter [:Trusty:] führt die Benutzung von fprint-demo nicht zu einer Verknüpfung mit dem Benutzernamen und die gewünschte Funktionalität steht nicht zur Verfügung. Das Einlesen des Fingerabdruckes ist nur über die [:fprint#Kommandozeile: Kommandozeile] möglich. === Abdruck einlesen === Im Karteireiter ''"Enroll"'' wählt man den Finger, dessen Abdruck man einlesen möchte und [[Vorlage(Tasten, lmt)]]-klickt auf den Knopf ''"Enroll"''. Es öffnet sich ein Dialog-Fenster, das zum Scannen des gewählten Fingers mittels des Fingerabdrucksensors auffordert. Nach dem Vorgang informiert der Dialog, ob der Scan erfolgreich verlaufen ist und zeigt, sofern das Gerät dies unterstützt, das eingelesene Bild des Fingerabdrucks an. === Abdruck löschen === Im Karteireiter ''"Enroll"'' lassen sich bereits erfasste Abdrücke über den Knopf ''"Löschen"'' wieder entfernen. Sie werden dann für eine Authentisierung nicht mehr herangezogen. === Abdruck überprüfen === Im Karteireiter ''"Verify"'' kann die Genauigkeit eines eingelesenen Abdrucks überprüft werden. Hierzu wählt man den zu prüfenden Abdruck aus und [[Vorlage(Tasten, lmt)]]-klickt auf ''"Verify"''. Es öffnet sich ein Dialog, der zum Scannen des Fingers auffordert. Das eingescannte Abbild wird im Fenster angezeigt zusammen mit einer Auswertung, wie viele [wikipedia:Fingerabdruck#Minutien:Minutien] gefunden wurden. Das Abbild kann hier auch als Bild gespeichert werden. Unter ''"Image control"'' kann die Art der Anzeige des eingelesenen Fingerabdrucks eingestellt werden. Es kann zwischen dem direkt eingelesenen (''"Normal"'') und dem für die Erkennung aufbereiteten Bild (''"Binarized"'') ausgewählt werden, zudem kann fprint-demo die erkannten Minutien (''"Show minutiae"'') als rote Punkte darstellen. === Abdruck identifizieren === Im Karteireiter ''"Identify"'' können besonders vergessliche Menschen vom Programm ermitteln lassen, welcher Finger eingescannt wurde, wenn zuvor Abbilder von allen Fingern angelegt wurde. Dieser Punkt ist wohl eher als Spielerei anzusehen. === Image Capture === Diese Funktion wurde noch nicht implementiert. == Auswirkung == [[Bild(./fprint-2.png, 400, right)]] Das System fragt nun (fast) jedes Mal, wenn eine Benutzer-Authentifizierung benötigt wird, automatisch den Fingerabdruck-Scanner ab. * Auf der Konsole (z.B. mit `sudo`) erscheint explizit eine entsprechende Abfrage, ebenso im Dialog zum Entsperren des Bildschirms und nach Beendigung von XScreenSaver, wenn gelockt wurde. * [:GDM:] scheint nicht über eine Aufforderung zum Einlesen eines Fingerabdrucks zu verfügen. GDM bleibt an Stelle dessen bei der Eingabe des Benutzernamens stehen und springt erst bei einem nicht erkannten Fingerabdruck zur Kennwort-Eingabe. * Beim Start von [:Synaptic:]) ist nicht ersichtlich, dass es auf eine Eingabe wartet, da erst nach einem falschen oder nicht erkannten Fingerabdruck der Dialog zur Eingabe des Kennwortes erscheint. (Vermutung: [:Policykit/#pkexec:pkexec] arbeitet nicht mit libfprint zusammen.) * Der [:GNOME_Schlüsselbund:GNOME-Schlüsselbund] wird nicht automatisch entsperrt, weil das Kennwort für den Schlüsselbund technisch nicht das Benutzerpasswort ist (die beiden lauten aber normalerweise gleich). Hierfür wird eine separate Kennwort-Abfrage eingeblendet. {{{#!vorlage Hinweis Liegen mehrere Fingerabdrücke vor, so wird ein bestimmter Abdruck zur Authentifizierung angefordert. Wenn der Anmeldemanager keine Aufforderung anzeigt, so sollten alle Fingerabdrücke bis auf einen entfernt werden. }}} = Getestete Hardware = Eine (vollständige) Liste unterstützter Hardware findet man auf der [#Links Projektseite von libfprint]. Die unterstützten Geräte werden mit ihrer USB-ID gelistet; die der eigenen Hardware zeigt dieser Befehl an: {{{#!vorlage Befehl lsusb }}} Zum Einsatz des Fingerabdruck-Lesers unter [:SDDM:], dem unter KDE Plasma 5 bevorzugten Displaymanager, gibt es eine [github:sddm/sddm/issues/284:Diskussionsseite] {en}, die auch Erfahrungen mit weiteren Geräten listet. = Links = * [https://fprint.freedesktop.org/ Projektseite von libfprint] {en} * [https://fprint.freedesktop.org/supported-devices.html Unterstütze Geräte] {en} * [https://linux.die.net/man/1/fprintd Manpage fprintd] {en} #tag: System, Sicherheit