PAM, znovupouziti prihlasovaciho hesla, uloziste hesel

Miroslav Prýmek m.prymek at gmail.com
Tue Nov 4 18:36:24 CET 2014

Previous message: devd notify - co vsechno umoznuje?
Next message: OT: escapování ve skriptu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,

mam na vas opet trosku sirsi dotaz:

Mam smartkartu (usb token), kterou uspesne pouzivam pro prihlasovani, 
ulozeni ssh klicu a touhle cestou
i k vytvareni hesel pro sifrovani dat, vsechno skrz ssh-agenta, ktery 
schranuje PIN ke smartkarte, takze vsechno
jenom na enter (ssh-askpass - YES). Vsechno se da celkem snadno 
nakonfigurovat az na to sifrovani, kde jsem si musel
napsat maleho helfera, pokud by mel nekdo zajem, dam odkaz.

Posledni dve veci, ktere mi chybi ke stesti:

1. Kdyz se do ssh-agenta vklada PIN ke smartkarte (ssh-add -cs ...), tak 
se samozrejme musi PIN zadat.
Jelikoz se tim PINem i prihlasuju, chtel bych, aby se tohle stalo 
automaticky pri startu - jako PIN se pouzilo heslo,
ktery jsem zadal pri prihlaseni.

2. Pouzit nejakym zpusobem ssh-agenta k uzamceni uloziste hesel.

Prvne to jednodussi: ad 2] takovata bezna a min dulezita hesla k webum 
apod. bych rad ulozil nekam,
odkud by si je prohlizec umel sam brat. Zatim pouzivam keepassx, ktery 
jednak potrebuje zadat heslo rucne
(to bych si kdyztak patchnul, to neni zas takovej problem), ale hlavne 
neni provazanej s prohlizecem
(to by vyzadovalo dohackovat podporu treba pro 
https://github.com/pfn/passifox coz by byl asi daleko vetsi orisek).

Takze otazka zni: neznate nejaky soft, ktery by fungoval jako uloziste 
hesel, mel nejakou podporu v prohlizecich
a zaroven by to pokud mozno nebyl takovy neprehledny moloch jako 
{gnome|kde}-keyring  nebo
keepass2 (mono) a nebyla to kdovijaka cloudova sluzba (lastpass)?

ad 1] Myslel jsem si, ze to pres PAM nebude problem, ale bohuzel jsem 
zjistil, ze
a) FreeBSD PAM neexportuje heslo do modulu pam_exec - neni az takovej 
problem, da se nainstalovat
     https://github.com/jeroennijhof/pam_script
b) "session" cast PAMu uz heslo podle vseho nevidi vubec - ani v 
pam_script ho nemam. Je to opravdu tak,
    ze heslo se pouzije jenom v sekci "auth" a pak se zahodi, jakoze 
uzivatel uz je overenej, tak co?
    Pokud to je tak, jak se mi to jevi, tak to taky moc nevim, jak resit 
(ukladani hesla nekam a pak jeho nacteni
    v session mi prijde hodne krkolomny a nebezpecny)
c) ssh-agenta muzu spustit pomoci "session optional pam_ssh want_agent", 
ale pak bych do nej potreboval
    pridat tu smartkartu, jenze kdyz spustim modul pam_exec po pam_ssh, 
tak jednak nevidim promennou SSH_AUTH_SOCK
    a druhak jsem neprisel na zpusob, jak ssh-add predat heslo skriptem 
- jedine pomoci SSH_ASKPASS, jenze
    tuhle promennou si zapamatuje uz navzdy a ja tam pak uz pro normalni 
provoz potrebuju normalni ssh-askpass...

Proste myslel jsem si, ze to nebude zadnej velkej problem, ze je to 
celkem jednoduchy zadani a pritom
je to jedna komplikace za druhou :(

Takze otazka je, jestli jste nekdo neresili aspon nektery z tech 
popsanych problemu a nemate nejaky tip,
popripade jestli se na to nevykaslat a nejit nejakou uplne jinou cestou 
nez pres ssh-agenta (to bych byl
docela nerad, kdyz uz mi to tak hezky funguje a jediny, co chybi, jsou 
tyhle dve principielne jednoduchy veci...)

Za jakoukoli radu nebo tip predem dik.

Mirek

Previous message: devd notify - co vsechno umoznuje?
Next message: OT: escapování ve skriptu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list