Re: Re : Re: Re : Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le mardi 10 mai 2022 à 10:30:02 UTC+2, benoit a écrit : [...] > Mais PAM, c'est pas un démon des fois ? [...] Non, de ce que je comprends, PAM (Pluggable Authentication Modules) est un ensemble de modules noyaux à usage d'authentification et le but est de configurer son système pour utiliser les modules nécessaires pour le type d'authentification que l'on souhaite. Y en a sûrement d'autres, mais RedHat propose une intro au concept PAM et une sorte de Howto de mise en oeuvre: https://www.redhat.com/sysadmin/pluggable-authentication-modules-pam https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/5/html/deployment_guide/ch-pam ça ne te sera peut-être pas d'un grand secours mais de mon côté mon époustouflante maîtrise du sujet ne me permet pas de t'aider vraiment ;-)
Re : Re: Re : Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le lundi 9 mai 2022 à 23:02, didier gaumet a écrit : > Le lundi 9 mai 2022 à 22:20:03 UTC+2, benoit a écrit : > > > --- Original Message --- > > Le lundi 9 mai 2022 à 19:33, didier gaumet didier...@gmail.com a écrit : > > [...] > > > > 3) Un peu au pif (je ne suis pas catégorique sur la viabilité de ce que > > > je suggère), d'après la page man de gnome-keyring-daemon tu dois pouvoir > > > rajouter une option "login" (voire une option "daemonize") avant le vrai > > > "start". Quelque chose de ce genre dans ton profile ou ton xinitrc: > > > eval $(gnome-keyring-daemon --daemonize --login) > > > eval $(gnome-keyring-daemon --start) > > > export SSH_AUTH_SOCK > > > > Juste un détail : l'option --login ne rend pas la main, du coup la session > > X ne démarre pas. > > [...] > > tu peux éventuellement essayer de revenir à l'origine en supprimant cette > ligne "--daemonize --login" et en modifiant en plus le fichier > /etc/pam.d/passwd tel que conseillé par la doc Gnome : > https://wiki.gnome.org/Projects/GnomeKeyring/Pam/Manual > (voir l'exemple de /etc/pam.d/passwd en bas de page) > mais attention à ne pas faire de doublon: le fichier incorpore le contenu de > /etc/pam.d/common-password (en tout cas chez moi) et dans mon cas (ma session > c'est Gnome), ce fichier contient déjà ces 2 lignes . > Oui comme tu dis /etc/pam.d/common-password Charge déjà password[success=1 default=ignore] pam_unix.so obscure yescrypt et passwordoptionalpam_gnome_keyring.so Par précaution j'ai essayé de faire comme dit cette doc en commentant @include common-password Pour ne pas avoir de doublons... Mais rien n'y fait... Mais PAM, c'est pas un démon des fois ? Genre config d'apache, qu'il faut redémarrer pour ça prenne effet... Une hypothèse, c'est que ma config ne charge pas tout ce qu'a besoin gnome-keyring-daemon. J'utilise openbox, mais pour qu'il soit configuré par le système, je l'ai fait avec update-alternatives. dans /etc/alternatives : x-window-manager -> /usr/bin/openbox Et dans .xinitrc . /etc/X11/Xsession Ainsi je délègue à la config par défaut du système d'initialiser les variable d’environnement et de lancer les autostrat. Avant je lançais ainsi exec openbox-session Et j'ajoutais les bonne config à la main... > Désolé, j'ai pas d'autres idées... Faut pas être désolé, c'est déjà super sympa de m'avoir aidé et si ça ne fonctionne pas, c'est sûrement à cause de toutes les modifs que j'ai faites. Il faudrait que je parte d'un système fraîchement installé sans bidouillage. Un tout grand merci !
Re: Re : Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le lundi 9 mai 2022 à 22:20:03 UTC+2, benoit a écrit : > --- Original Message --- > Le lundi 9 mai 2022 à 19:33, didier gaumet a écrit : [...] > > 3) Un peu au pif (je ne suis pas catégorique sur la viabilité de ce que je > > suggère), d'après la page man de gnome-keyring-daemon tu dois pouvoir > > rajouter une option "login" (voire une option "daemonize") avant le vrai > > "start". Quelque chose de ce genre dans ton profile ou ton xinitrc: > > eval $(gnome-keyring-daemon --daemonize --login) > > eval $(gnome-keyring-daemon --start) > > export SSH_AUTH_SOCK > > > Juste un détail : l'option --login ne rend pas la main, du coup la session X > ne démarre pas. [...] tu peux éventuellement essayer de revenir à l'origine en supprimant cette ligne "--daemonize --login" et en modifiant en plus le fichier /etc/pam.d/passwd tel que conseillé par la doc Gnome : https://wiki.gnome.org/Projects/GnomeKeyring/Pam/Manual (voir l'exemple de /etc/pam.d/passwd en bas de page) mais attention à ne pas faire de doublon: le fichier incorpore le contenu de /etc/pam.d/common-password (en tout cas chez moi) et dans mon cas (ma session c'est Gnome), ce fichier contient déjà ces 2 lignes . Désolé, j'ai pas d'autres idées...
Re : Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
--- Original Message --- Le lundi 9 mai 2022 à 19:33, didier gaumet a écrit : > 1) As-tu ces 2 lignes dans ton /etc/pam.d/login ? : > auth optional pam_gnome_keyring.so > session optional pam_gnome_keyring.so auto_start > Oui > 2) ton mot de passe de session est-il identique à ton mode de passe de > trousseau de clés? ça semble nécessaire, ou, si ça ne l'est pas , je ne sais > pas comment faire > Bien sûr ! ;-) > 3) Un peu au pif (je ne suis pas catégorique sur la viabilité de ce que je > suggère), d'après la page man de gnome-keyring-daemon tu dois pouvoir > rajouter une option "login" (voire une option "daemonize") avant le vrai > "start". Quelque chose de ce genre dans ton profile ou ton xinitrc: > eval $(gnome-keyring-daemon --daemonize --login) > eval $(gnome-keyring-daemon --start) > export SSH_AUTH_SOCK > Juste un détail : l'option --login ne rend pas la main, du coup la session X ne démarre pas. > Bonne chance :-) Merci ! Je finirai bien par l'avoir cette config ! ;-)
Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le lundi 9 mai 2022 à 18:30:03 UTC+2, benoit a écrit : > J'y arrives pas, pourtant la doc que tu m'indiques dit que c'est possible et > ça à l'air vraiment simple, il n'y a pas 36 façons de ne pas y arriver... > Que puis-je poster comme info pour trouver mon erreur de config ? 1) As-tu ces 2 lignes dans ton /etc/pam.d/login ? : auth optional pam_gnome_keyring.so sessionoptional pam_gnome_keyring.so auto_start 2) ton mot de passe de session est-il identique à ton mode de passe de trousseau de clés? ça semble nécessaire, ou, si ça ne l'est pas , je ne sais pas comment faire 3) Un peu au pif (je ne suis pas catégorique sur la viabilité de ce que je suggère), d'après la page man de gnome-keyring-daemon tu dois pouvoir rajouter une option "login" (voire une option "daemonize") avant le vrai "start". Quelque chose de ce genre dans ton profile ou ton xinitrc: eval $(gnome-keyring-daemon --daemonize --login) eval $(gnome-keyring-daemon --start) export SSH_AUTH_SOCK Bonne chance :-)
Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
--- Original Message --- Le lundi 9 mai 2022 à 14:46, didier gaumet a écrit : > - Tu peux démarrer simplement le daemon gnome-keyring comme indiqué en > modifiant .xinitrc , ce qui me paraîtrait cohérent avec ton contexte (startx) > - Comme le dit Gaby, c'est PAM qui permet de ne pas saisir ton password > plusieurs fois dans le cas où le password de login et le password du > trousseau sont identiques, en modifiant /etc/pam.d.login tel qu'indiqué , > puis en suivant le lien inclus dans le paragraphe du wiki archlinux : > https://wiki.archlinux.org/title/GNOME/Keyring#Automatically_change_keyring_password_with_user_password > pour que les passwords trousseau et login soient synchrones J'y arrives pas, pourtant la doc que tu m'indiques dit que c'est possible et ça à l'air vraiment simple, il n'y a pas 36 façons de ne pas y arriver... Que puis-je poster comme info pour trouver mon erreur de config ?
Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le lundi 9 mai 2022 à 13:10:03 UTC+2, benoit a écrit : > Bonjour > > Merci pour l'info. > Je veux bien essayer, mais je n'ai pas l'impression que ce qu'indique la doc > de GNOME Keyring va m'aider. > Cf. > https://wiki.archlinux.org/title/GNOME/Keyring#Shell > > Dans le shell > « Add the following to your ~/.bash_profile, ~/.zshenv, or similar: > > ~/.bash_profile > > if [ -n "$DESKTOP_SESSION" ];then > eval $(gnome-keyring-daemon --start) > export SSH_AUTH_SOCK > fi » > > D'après env | grep DESKTOP_SESSION > Je n'ai pas la variable DESKTOP_SESSION. > > Dans > https://wiki.archlinux.org/title/GNOME/Keyring#xinitrc > > Ca vient après, quand je tape startx. > > Ce que je voudrais, c'est que mon mot de passe du login soit utilisé pour > déverrouiller mon trousseau Si je comprends bien(?): - Tu peux démarrer simplement le daemon gnome-keyring comme indiqué en modifiant .xinitrc , ce qui me paraîtrait cohérent avec ton contexte (startx) - Comme le dit Gaby, c'est PAM qui permet de ne pas saisir ton password plusieurs fois dans le cas où le password de login et le password du trousseau sont identiques, en modifiant /etc/pam.d.login tel qu'indiqué , puis en suivant le lien inclus dans le paragraphe du wiki archlinux : https://wiki.archlinux.org/title/GNOME/Keyring#Automatically_change_keyring_password_with_user_password pour que les passwords trousseau et login soient synchrones
Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Ce que je voudrais, c'est que mon mot de passe du login soit utilisé pour déverrouiller mon trousseau Il n'y a qu'avec un module PAM qu'on peut faire cela car ensuite, tu n'as plus accès au mot de passe. gaby En tant que chargé de la sécurité informatique, je suis parfois amené à envoyer des courriels en dehors des heures de bureau. Ceux-ci n’appellent pas de réponses immédiates (la déconnexion est un droit). -- Gabriel Moreau - IR CNRShttp://www.legi.grenoble-inp.fr LEGI (UMR 5519) Laboratoire des Ecoulements Geophysiques et Industriels Domaine Universitaire, CS 40700, 38041 Grenoble Cedex 9, France mailto:gabriel.mor...@legi.grenoble-inp.fr tel:+33.476.825.015 smime.p7s Description: Signature cryptographique S/MIME
Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Bonjour Merci pour l'info. Je veux bien essayer, mais je n'ai pas l'impression que ce qu'indique la doc de GNOME Keyring va m'aider. Cf. https://wiki.archlinux.org/title/GNOME/Keyring#Shell Dans le shell « Add the following to your ~/.bash_profile, ~/.zshenv, or similar: ~/.bash_profile if [ -n "$DESKTOP_SESSION" ];then eval $(gnome-keyring-daemon --start) export SSH_AUTH_SOCK fi » D'après env | grep DESKTOP_SESSION Je n'ai pas la variable DESKTOP_SESSION. Dans https://wiki.archlinux.org/title/GNOME/Keyring#xinitrc Ca vient après, quand je tape startx. Ce que je voudrais, c'est que mon mot de passe du login soit utilisé pour déverrouiller mon trousseau Envoyé avec la messagerie sécurisée ProtonMail. --- Original Message --- Le lundi 9 mai 2022 à 11:34, didier gaumet a écrit : > > Le lundi 09 mai 2022 à 08:22 +, benoit a écrit : > > > Bonjour à toutes et tous, > > > > J’ai configuré mon système pour démarrer en mode texte : > > Après le démarrage du système, le terminal en mode texte, me demande > > mon login et mon te passe. > > Puis je tape startx pour lancer X. > > > > Une fois sous X si je lance un programme comme Evolution ou Element > > qui a besoin d’avoir accès au trousseau de clés, un prompt graphique > > me demande de taper le mot de passe pour le déverrouiller. > > > > Serait-il possible de déverrouiller mon trousseau de clés en mode > > texte au moment où je tape le mot de passe de login en ne l’entrant > > qu’une seule fois pour le login et le trousseau de clés ? > > > > Merci d'avance > > > > -- > > Benoit > > > Bonjour, > > Je ne suis pas très familier avec tout ça, donc à prendre avec précaution, > mais: > > - lorsque tu parles par exemple d'Evolution, en tant que programme Gnome, le > trousseau de clés est géré par gnome-keyring. Il faudrait donc a priori > démarrer le daemon gnome-keyring dans un fichier de configuration du genre > .profile ou .xsession, après avoir modifié le paramétrage PAM. Plus d'infos > sur la manière de faire sur le wiki archlinux (paragraphe 3): > https://wiki.archlinux.org/title/GNOME/Keyring > > - si tu utilises des programmes KDE/Plasma, il faut peut-être (je connais > encore moins) que tu utilises Kwallet. Plus d'infos sur la manière de faire > aussi sur le wiki archlinux (paragraphe 1): > https://wiki.archlinux.org/title/KDE_Wallet
Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Le lundi 09 mai 2022 à 08:22 +, benoit a écrit : > Bonjour à toutes et tous, > > J’ai configuré mon système pour démarrer en mode texte : > Après le démarrage du système, le terminal en mode texte, me demande > mon login et mon te passe. > Puis je tape startx pour lancer X. > > Une fois sous X si je lance un programme comme Evolution ou Element > qui a besoin d’avoir accès au trousseau de clés, un prompt graphique > me demande de taper le mot de passe pour le déverrouiller. > > Serait-il possible de déverrouiller mon trousseau de clés en mode > texte au moment où je tape le mot de passe de login en ne l’entrant > qu’une seule fois pour le login et le trousseau de clés ? > > Merci d'avance > > -- > Benoit > > Bonjour, Je ne suis pas très familier avec tout ça, donc à prendre avec précaution, mais: - lorsque tu parles par exemple d'Evolution, en tant que programme Gnome, le trousseau de clés est géré par gnome-keyring. Il faudrait donc a priori démarrer le daemon gnome-keyring dans un fichier de configuration du genre .profile ou .xsession, après avoir modifié le paramétrage PAM. Plus d'infos sur la manière de faire sur le wiki archlinux (paragraphe 3): https://wiki.archlinux.org/title/GNOME/Keyring - si tu utilises des programmes KDE/Plasma, il faut peut-être (je connais encore moins) que tu utilises Kwallet. Plus d'infos sur la manière de faire aussi sur le wiki archlinux (paragraphe 1): https://wiki.archlinux.org/title/KDE_Wallet
Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Bonjour à toutes et tous, J’ai configuré mon système pour démarrer en mode texte : Après le démarrage du système, le terminal en mode texte, me demande mon login et mon te passe. Puis je tape startx pour lancer X. Une fois sous X si je lance un programme comme Evolution ou Element qui a besoin d’avoir accès au trousseau de clés, un prompt graphique me demande de taper le mot de passe pour le déverrouiller. Serait-il possible de déverrouiller mon trousseau de clés en mode texte au moment où je tape le mot de passe de login en ne l’entrant qu’une seule fois pour le login et le trousseau de clés ? Merci d'avance -- Benoit
