• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Login mit Yubikey, Bitte Hilfe PAM

/dev/null

Moderator
Teammitglied
Hallo Freunde!

Ich habe (auf meinen jetzt nur noch privaten) Rechnern das Einloggen so konfiguriert, dass ich dafür meinen Yubikey nutzen kann.
Dazu habe ich in /etc/pam.d/common-auth-pc als vorletzte Zeile die folgende Zeile eingefügt:
Code:
auth    sufficient    pam_yubico.so    mode=challenge-response
Selbstverständlich vorher noch die benötigten Bibliotheken für den Yubikey installiert und den Stick dem System bekannt gemacht.
Das ganze funktionierte ab dem ersten Start perfekt. Sowohl beim Einloggen als auch beim "su -" auf der Konsole. An Stelle des PW den Sensor des Yubikey berühren und fertig. (Letztendlich spart mir das nur das Einhacken meiner langen PW, nur auf meinem Notebook mit der verschlüsselten SSD ist das auch wirklich ein Gewinn an Sicherheit. <= Bevor jemand damit kommt ...)

So nun mein Problem bzw. meine Bitte um Unterstützung:
Das Anmelden funktioniert wie o.g. perfekt. Aber es funktioniert nicht mehr nach einer Sperrung des Bildschirmes.

Kennt sich da jemand aus, wie ich dieses "Problem" auch noch lösen kann?

MfG Peter
 
/dev/null schrieb:
Aber es funktioniert nicht mehr nach einer Sperrung des Bildschirmes.
..

Bietet diese Sperre einen Userwechsel an?
Wenn ja, wechsle den user auf denselben und probiere das Entsperren dann mit Yubikey
Nur ein Test, um zu erfahren was da los ist
 

marce

Guru
Alternativ mal prüfen, ob z.B. in einem Editor die Passwort wiedergegeben wird wenn man den YK drückt.
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Ich danke euch beiden fürs Mitdenken und eure Tipps.

Gräfin Klara schrieb:
Bietet diese Sperre einen Userwechsel an?
Treffer!
Wenn ich den tatsächlich möglichen Benutzerwechsel mache und mich dann wieder aufs selbe (das meinige) Konto anmelde, dann funktioniert es genau so, wie bei der Erstanmeldung.

marce schrieb:
Alternativ mal prüfen, ob z.B. in einem Editor die Passwort wiedergegeben wird wenn man den YK drückt.
Klar wird im Editor ein (immer wieder neues) PW angezeigt. Es ist das PW, welches - Slot 1 - durch "Hochzählen" generiert wird. Genau dieses kommt auch bei der versuchten Anmeldung bei gesperrtem Bildschirm. Nur dieses nutzt mir nichts, weil ich eben den Slot 2 mit der Methode "challenge-response" nutze. Bei den beiden OTP-Methoden (Hochzählen und Zeitgesteuert) muss der Rechner online sein und ich brauche einen Server, welcher die von mir gesendeten PW akzeptieren muss. Aber ich bzw. mein Client ist noch offline und ich möchte auch keinen fremden Server nutzen.

Letztendlich suche ich den Unterschied zwischen einer ganz normalen Anmeldung (common-auth) und der Anmeldung "an ein bereits angemeldetes und nur gesperrtes Konto". Oder mit anderen Worten: bei der normalen Anmeldung wird eine "Challenge" gesendet und ein Response angefordert. Bei der zweiten Form der Anmeldung agiert nur der YK und sendet sein nächstes Zufallspasswort.
BTW: Ich habe ganz bewusst auf Hinweise zum Hashen und zum Verschlüsseln der PW bzw. der Response verzichtet. Ist ja hier für die Funktion auch nicht unbedingt erforderlich. Der User hat auch keinen Einfluss darauf. Es funktioniert eben ... .


MfG Peter
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Auch dir meinen Dank.
Beim ersten Überfliegen habe ich allerdings noch keine Antwort auf meine Fragen gefunden. Ich werde mich die nächsten Tage intensiv mit diesem Text befassen, und suchen, ob da etwas steht was in der Originaldokumentation des Herstellers nicht zu finden ist.
Kommt Zeit kommt Rat.

MfG Peter
 
/dev/null schrieb:
Ich danke euch beiden fürs Mitdenken und eure Tipps.

Gräfin Klara schrieb:
Bietet diese Sperre einen Userwechsel an?
Treffer!
Wenn ich den tatsächlich möglichen Benutzerwechsel mache und mich dann wieder aufs selbe (das meinige) Konto anmelde, dann funktioniert es genau so, wie bei der Erstanmeldung.
...
Ok.
Folgendes könnte sein:
a. Nicht im Fokus.
Yubikey arbeitet als HID, also wie ein keyboard.... aber das weißt du sowieso.
Setze zum Testen mit mouse oder keyboard das entprechende Eingabefeld in den Fokus und probiere dann mit Yubikey.

b. Funktioniert das nicht, dann kannst du das Problem über udev lösen. (Ähnliche Regeln wie keyboard)
Dann kann KDE, oder was auch immer, damit richtig umgehen UND (so nur meine Meinung) sollte beim Ziehen des Yubikey sowieso automatisch die session gesperrt werden.
Ich glaube, dass ich mit diesem Problem (andere security devices) schon einmal ein Rendezvous hatte.

Gruß
Gräfin Klara
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Danke.

Fokus:
Der YK ist schon im Fokus. Nur, er sendet aus dem Slot 1 das "hochgezählte" PW und es erfolgt kein Challenge-Respond (=> Slot 2).
Mit dem zweitenHinweis (udev) konnte ich mich noch nicht beschäftigen. Und ich konnte auch sonst noch nichts weiter unternehmen.

MfG Peter
 
Oben