Ahoj,
mam na vas opet trosku sirsi dotaz:
Mam smartkartu (usb token), kterou uspesne pouzivam pro prihlasovani,
ulozeni ssh klicu a touhle cestou
i k vytvareni hesel pro sifrovani dat, vsechno skrz ssh-agenta, ktery
schranuje PIN ke smartkarte, takze vsechno
jenom na enter (ssh-askpass - YES). Vsechno se da celkem snadno
nakonfigurovat az na to sifrovani, kde jsem si musel
napsat maleho helfera, pokud by mel nekdo zajem, dam odkaz.
Posledni dve veci, ktere mi chybi ke stesti:
1. Kdyz se do ssh-agenta vklada PIN ke smartkarte (ssh-add -cs ...), tak
se samozrejme musi PIN zadat.
Jelikoz se tim PINem i prihlasuju, chtel bych, aby se tohle stalo
automaticky pri startu - jako PIN se pouzilo heslo,
ktery jsem zadal pri prihlaseni.
2. Pouzit nejakym zpusobem ssh-agenta k uzamceni uloziste hesel.
Prvne to jednodussi: ad 2] takovata bezna a min dulezita hesla k webum
apod. bych rad ulozil nekam,
odkud by si je prohlizec umel sam brat. Zatim pouzivam keepassx, ktery
jednak potrebuje zadat heslo rucne
(to bych si kdyztak patchnul, to neni zas takovej problem), ale hlavne
neni provazanej s prohlizecem
(to by vyzadovalo dohackovat podporu treba pro
https://github.com/pfn/passifox coz by byl asi daleko vetsi orisek).
Takze otazka zni: neznate nejaky soft, ktery by fungoval jako uloziste
hesel, mel nejakou podporu v prohlizecich
a zaroven by to pokud mozno nebyl takovy neprehledny moloch jako
{gnome|kde}-keyring nebo
keepass2 (mono) a nebyla to kdovijaka cloudova sluzba (lastpass)?
ad 1] Myslel jsem si, ze to pres PAM nebude problem, ale bohuzel jsem
zjistil, ze
a) FreeBSD PAM neexportuje heslo do modulu pam_exec - neni az takovej
problem, da se nainstalovat
https://github.com/jeroennijhof/pam_script
b) "session" cast PAMu uz heslo podle vseho nevidi vubec - ani v
pam_script ho nemam. Je to opravdu tak,
ze heslo se pouzije jenom v sekci "auth" a pak se zahodi, jakoze
uzivatel uz je overenej, tak co?
Pokud to je tak, jak se mi to jevi, tak to taky moc nevim, jak resit
(ukladani hesla nekam a pak jeho nacteni
v session mi prijde hodne krkolomny a nebezpecny)
c) ssh-agenta muzu spustit pomoci "session optional pam_ssh want_agent",
ale pak bych do nej potreboval
pridat tu smartkartu, jenze kdyz spustim modul pam_exec po pam_ssh,
tak jednak nevidim promennou SSH_AUTH_SOCK
a druhak jsem neprisel na zpusob, jak ssh-add predat heslo skriptem
- jedine pomoci SSH_ASKPASS, jenze
tuhle promennou si zapamatuje uz navzdy a ja tam pak uz pro normalni
provoz potrebuju normalni ssh-askpass...
Proste myslel jsem si, ze to nebude zadnej velkej problem, ze je to
celkem jednoduchy zadani a pritom
je to jedna komplikace za druhou :(
Takze otazka je, jestli jste nekdo neresili aspon nektery z tech
popsanych problemu a nemate nejaky tip,
popripade jestli se na to nevykaslat a nejit nejakou uplne jinou cestou
nez pres ssh-agenta (to bych byl
docela nerad, kdyz uz mi to tak hezky funguje a jediny, co chybi, jsou
tyhle dve principielne jednoduchy veci...)
Za jakoukoli radu nebo tip predem dik.
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
