... | ... | @@ -69,6 +69,9 @@ Sollte die Anmeldung in der ersten Zeile erfolgreich sein, bewirkt „success=1 |
|
|
|
|
|
Das letzte Element in einer Konfigurationszeile kann durch Leerzeichen getrennte Moduloptionen enthalten. Bei „pam_unix.so“ gibt es beispielsweise „nullok_secure“, was eine Anmeldung auch mit einem leeren Passwort erlaubt. Weitere Informationen zu den Optionen finden Sie in der Hilfe zum jeweiligen Modul, etwa über man pam_unix.
|
|
|
|
|
|
![PAM-Konfiguration: Wie die Authentifizierung abläuft, ist in Konfigurationsdateien festgelegt. Die Datei „common-auth“ wird von den meisten Programmen verwendet.](https://www.myria.de/dfiles/Images/104_03_CommonAuth.png)
|
|
|
_PAM-Konfiguration: Wie die Authentifizierung abläuft, ist in Konfigurationsdateien festgelegt. Die Datei „common-auth“ wird von den meisten Programmen verwendet._
|
|
|
|
|
|
## 5. Backup als Vorsichtsmaßnahme anlegen
|
|
|
Bevor Sie etwas an der PAM-Konfiguration ändern, erstellen Sie ein Backup des Ordners „/etc/pam.d“. Bei Fehlern besteht akute Gefahr, dass Sie sich nicht mehr anmelden können. In diesem Fall hilft nur noch ein Linux-Livesystem von einer DVD oder einem USB-Stick. Passende Livesysteme finden Sie auf der LinuxWelt-DVD. Empfehlenswert ist beispielsweise das LinuxWelt-Surfsystem.
|
|
|
|
... | ... | @@ -123,6 +126,8 @@ ein. Öffnen Sie ein neues Terminalfenster und führen Sie |
|
|
aus. Der Wechsel zum Systemverwalterkonto funktioniert jetzt mit der in „/etc/userpass.db“ hinterlegten PIN und weiterhin alternativ mit dem bisher verwendeten Passwort.
|
|
|
|
|
|
Bauen Sie „@include inc_pin“ entsprechend in die Dateien „/etc/pam.d/gdm-password“ sowie „/etc/pam.d/polkit-1“ ein. Dann können Sie die PIN für die Anmeldung an der grafischen Oberfläche, ferner zum Entsperren und zur Legitimierung für höhere Rechte verwenden.
|
|
|
![Anmeldemethode ändern: Statt auf „common-auth“ verweisen Sie in der gewünschten Datei auf Ihre individuelle Konfiguration. Die Änderung lässt sich so leichter rückgängig machen.](https://www.myria.de/dfiles/Images/104_05_sudo.png)
|
|
|
_Anmeldemethode ändern: Statt auf „common-auth“ verweisen Sie in der gewünschten Datei auf Ihre individuelle Konfiguration. Die Änderung lässt sich so leichter rückgängig machen._
|
|
|
|
|
|
## 7. Authentifizierung über einen USB-Stick
|
|
|
Über eine Zwei-Faktor-Authentifizierung lässt sich die Sicherheit ohne Auswirkung auf die Bequemlichkeit erhöhen. Den größten Komfort bietet ein USB-Stick, der verbunden sein muss, wenn Sie sich mit einer PIN anmelden wollen. Andernfalls funktioniert nur das Linux-Standardpasswort.
|
... | ... | @@ -148,6 +153,8 @@ fügen Sie einen Benutzer hinzu. Ersetzen Sie den Platzhalter „[Benutzer]“ d |
|
|
prüfen Sie, ob die Anmeldung funktioniert.
|
|
|
|
|
|
Erstellen Sie eine PAM-Konfigurationsdatei, beispielsweise „/etc/pam.d/inc_usb“ (siehe Abbildung). Unsere Konfiguration fragt zuerst die PIN ab und danach den USB-Stick. Ist der USB-Stick nicht verbunden, muss die Anmeldung über das Linux-Passwort erfolgen. Binden Sie die Datei entsprechend Punkt 6 in die gewünschten Konfigurationsdateien ein.
|
|
|
![Sicherer mit zwei Faktoren: „inc_usb“ fordert eine kurze PIN an. Die Anmeldung erfolgt aber nur mit verbundenem USB-Stick. Alternativ kann auch das Standardpasswort verwendet werden.](https://myria.de/dfiles/Images/104_06_Inc_USB.png)
|
|
|
_Sicherer mit zwei Faktoren: „inc_usb“ fordert eine kurze PIN an. Die Anmeldung erfolgt aber nur mit verbundenem USB-Stick. Alternativ kann auch das Standardpasswort verwendet werden._
|
|
|
|
|
|
## Weitere Module für PAM
|
|
|
Mit zusätzlicher Hardware lassen sich weitere Authentifizierungsmethoden nutzen. Relativ zuverlässig arbeitet ein Fingerabdrucksensor, wie er in einigen Notebooks zu finden ist. Voraussetzung ist, dass der Sensor von Linux erkannt wird. Die einzelnen Schritte der Konfiguration haben wir unter www.pcwelt.de/2111908 beschrieben.
|
... | ... | |