Salve ragazzi,
avete mai visto i vostri colleghi autenticarsi (loggarsi con ID e PASSWORD) in un computer senza usare la password, ma un dispositivo USB? No?
Ma in che mondo vivete?
Scherzo... Però, io ho sempre sognato di inserire una password "hardware" (si lo so, sono nerd fin nelle ossa).
Per chi non sapesse minimamente di cosa sto parlando, in poche parole l'autenticazione si svolgerà semplicemente inserendo la periferica usb personale e lasciando vuoto il campo password. Tutto questo grazie a PAM!
Cos'è PAM?
PAM o Pluggable authentication modules costituisce una serie di librerie e file che permettono di autenticare l’utente mediante altri sistemi differenti da quello standard. Questo permette di non modificare l’intero programma in caso di cambiamento del metodo di autenticazione, e permette inoltre di autenticarsi in svariati modalità, dalle impronte digitali alle periferiche USB! Infatti il modulo PAM che gestisce l’accesso e l’autenticazione via USB. Maggiori informazioni le trovate su Wikipedia
Installiamo PAMUSB
Se siete su un sistema Debian GNU/Linux potete comodamente installare i pacchetti relativi al modulo pamusb con questo comando:
apt-get install libpam-usb pamusb-tools
A questo punto sarà necessario solamente inserire la nostra pennetta USB e configurare PAM per tutto il necessario per un corretto funzionamento. Quindi andremo ad aggiungere la nostra periferica USB tra quelle disponibili e andremo ad associare il nostro nome utente con la nostra periferica scelta. Digitiamo da terminale con permessi di super utente:
pamusb-conf --add-device AuthChiave
Questo comando vi mostrerà a schermo i dati della periferica scelta e dovrete confermare con un classico “y” l’operazione che andrete a compiere. Ovviamente potete sostituire AuthChiave con qualsiasi nome vogliate in quanto sarà l’ID della periferica. Ora la vostra periferica è riconosciuta da pamusb ma non è stata associata a nessun utente, indi procediamo con il seguente comando sempre da super utente:
pamusb-conf --add-user VOSTRONOMEUTENTE
Se volete controllare che tutto sia andato per il verso giusto, basta eseguire un controllo con questo comando:
pamusb-check VOSTRONOMEUTENTE
Ora non ci resta che aggiungere il modulo come possibilità di autenticazione quindi modifichiamo il file in /etc/pam.d/common-auth ed aggiungiamo la seguente riga in questo modo: Cerchiamo la riga (o simile):
auth required pam_unix.so nullok_secure
ed aggiungiamo dopo quest’altra riga:
auth sufficient pam_usb.so
Abbiamo finito! A questo punto basterà inserire al momento del login o dell’autenticazione (o in caso di su – vostronomeutente ) la vostra chiavetta usb senza dover inserire la password, o se richiesta basterà premere invio. Nel caso non vogliate dover premere invio alla richiesta della password, potete mettere quest’ultima riga solamente prima della riga di autenticazione. È possibile, in oltre, far eseguire un comando al momento della rimozione del periferica selezionata, o al momento dell’inserimento. Per fare ciò basterà modificare il file /etc/pamusb.conf , ricercando i seguenti tag e modificandoli in questo modo:
<user id="VOSTRONOMEUTENTE">
<device>AuthChiave</device>
<agent event="lock">xscreensaver-command --lock</agent>
<agent event="unlock">xscreensaver-command --deactivate</agent>
</user>
In questo modo verrà bloccato lo schermo quando viene rimossa la periferica, ma verrà riattivata quando la reinserirete. Per attivare questa funzione, dobbiamo aggiungere pamusb-agent tra i processi che si avviano automaticamente all’inizio della nostra sessione. Per fare questo con Xfce 4.6 basta andare nel Menu > Impostazioni > Sessione e Avvio, e selezionare la tabella “Application autostart” e aggiungere pamusb-agent nella lista dei processi. A questo punto vi basterà riavviare la sessione per verificare i cambiamenti!
Ops... ho fatto un casino!!
In caso di problemi relativi all’autenticazione,in situazioni veramente critiche, potrete sempre avviare un liveCD di qualsiasi distribuzione ed eseguire un chroot nella vostra root, eliminare direttamente i pacchetti installati e/o commentare la riga seguente:
#auth sufficient pam_usb.so
Tutto ritornerà come prima! E la fatina buona vi faciliterà la vita con qualche simpatica filastrocca e tocchi di bacchetta magica!
Un saluto a tutti...
masand