BR Indice() BR

Introduzione

PAM (Pluggable authentication modules) permette di accedere a un sistema Linux utilizzando un supporto USB. Può essere usato per velocizzare l'accesso al sistema, evitando l'inserimento della password, e rendere più rapide le modifiche quando sono necessari i [:AmministrazioneSistema/Sudo:privilegi di ammistratore]. Può inoltre essere configurato per fornire un'ulteriore protezione del sistema richiedendo sia l'utilizzo del supporto USB sia della password nella fase di login.

Installazione

È sufficiente [:AmministrazioneSistema/InstallareProgrammi:installare] i pacchetti [apt://libpam-usb libpam-usb] e [apt://pamusb-tools pamusb-tools].

Configurazione

Seguire la seguente procedura per la configurazione del supporto USB.

1. Inserire il supporto USB che si desidera utilizzare.
2. Digitare da riga di comando:

   sudo pamusb-conf --add-device ID_USB 

   sostituire la dicitura «ID_USB» con l'ID della periferica utilizzata.

3. Confermare la corretta scelta del supporto premendo il tasto y.

4. Associare al dispositivo il proprio nome utente, digitare da riga di comando:

   sudo pamusb-conf --add-user NOMEUTENTE 

   sostituire la dicitura «NOMEUTENTE» con il proprio nome utente utilizzato sul sistema.
5. Per avere la conferma che tutto sia andato a buon fine, è sufficiente usare il comando:

   pamusb-check NOMEUTENTE 

   sostituendo alla dicitura «NOMEUTENTE» il nome utente utilizzato precedentemente.

6. Fornire a PAM le indicazioni per operare correttamente. Aprire con un [:Ufficio/EditorDiTesto:editor di testo] e con i [:AmministrazioneSistema/Sudo:privilegi di amministrazione] il file /etc/pam.d/common-auth, cercare la seguente riga:

   auth    required        pam_unix.so nullok_secure

7. Aggiungere la seguente riga sopra quella appena individuata:

   auth    LIVELLO      pam_usb.so

   sostituire alla dicitura «LIVELLO» sufficient, nel caso si voglia che l'inserimento del dispositivo sostituisca l'inserimento della password, oppure required in caso in cui si voglia che venga richiesta sia la password che il dispositivo.BR Ecco un esempio di modifica:

   auth    sufficient      pam_usb.so
   auth    required        pam_unix.so nullok_secure

Ora PAM è perfettamente configurato e funzionante.

Altre opzioni

Modificando con un [:Ufficio/EditorDiTesto:editor di testo] e con i [:AmministrazioneSistema/Sudo:privilegi di amministrazione] il file /etc/pamusb.conf è possibile aggiungere opzioni di configurazione a PAM.

Ecco un esempio di configurazione aggiuntiva: {{{<user id="NOMEUTENTE"> <device>ChiaveUSB</device>

• <agent event="lock">xscreensaver-command --lock</agent> <agent event="unlock">xscreensaver-command --deactivate</agent>

</user> }}} Questa configurazione permette, se rimosso il supporto USB, di bloccare lo schermo e di poterlo sbloccare solo inserendo nuovamente la periferica.

Per poter sfruttare queste potenzialità è necessario aggiungere l'applicazioni pamusb-agent nelle «Applicazioni d'avvio».

Per farlo è sufficiente andare in Sistema -> Preferenze -> Applicazioni d'Avvio, fare click su Aggiungi e compilare i campi come segue:

• Nome: PamUSB

• Comando: pamusb-agent

• Descrizione: un testo a piacere

Rimuovere PAM

In caso di problemi con PAM (ad esempio l'impossibilità di accedere al PC causa USB rovinata) è necessario avviare una LiveCD di Ubuntu, montare la partizione che ospita il proprio sistema e commentare nel file /etc/pam.d/common-auth la riga aggiunta in fase di configurazione: {{{auth sufficient pam_usb.so }}} aggiungendo un «#» all'inizio della riga.

Ecco come si presenterà la riga dopo la modifica: {{{#auth sufficient pam_usb.so }}}

Ulteriori risorse

• [http://en.gentoo-wiki.com/wiki/PAM_Authentication_using_USB_Devices Configurazione di PAM usb sul wiki di gentoo]

CategorySicurezza