Ubuntu 19.04システムでいくつかの実験を行いました。ここを見てください。 https://schulz.dk/2019/08/23/using-solokey-for-linux-login/ そしてここ: https://wiki.gnome.org/Projects/GnomeKeyring/Pam#Advanced_configuration
その後、common-fido-authというファイルが作成され、次のファイルに含まれていました。
/etc/pam.d/sudo
および/etc/pam.d/gdm-password
最後はこんな感じ
#%PAM-1.0
session required pam_env.so readenv=1 user_readenv=0
session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-fido-auth #instead of @include common-auth
@include common-account
@include common-session-noninteractive
私はcommon-authにGNOMEキーリングのロックを解除するモジュールがあると仮定し、common-authからいくつかの行をコピーしました。
auth include common-fido
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
common-fidoの様子
auth sufficient pam_u2f.so
auth [success=1 default=ignore] pam_unix.so nullok_secure
しかし、これは間違っているようです。 pam_unix.soが正しく解釈されておらず、Solokeyを使用してGnomeキーリングのパスワードを入力する必要があります。
誰でもどんなアイデアがありますか?
答え1
で述べたようにhttps://github.com/Yubico/pam-u2f/issues/130、上記のTwinkybot、GNOME Keyringのロックを解除するにはパスワードが必要なので、別の方法でログインすると、pamを介してGNOME Keyringデーモンにパスワードを提供することはできません。
選択肢は次のとおりです。
- パスワードを空にしてください。これは、キーリングに保存されたコンテンツが暗号化されなくなったことを意味します。
- パスワードはセキュリティキー(GPGまたはPIV)に保存されているキーを使用して暗号化されるため、ログインに接続すると、スクリプトが暗号化されたパスワードを含むファイルを使用して自動的にキーリングのロックを解除できます。
答え2
これで、ハードウェアドングルを使用して自動的に復号化できる形式のキーリング暗号化パスワードを含むファイルを生成することで、この問題を解決するプロジェクトがあります。