Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tutoriel:pam-usb [Le 02/10/2008, 02:16]
furious-therapy
+++ tutoriel:pam-usb [Le 26/12/2016, 09:30]
L'Africain doublon avec tutoriel/authentification_usb
@@ Ligne 1: / Ligne 1: @@
-{{tag>Gutsy Hardy tutoriel}}
+{{tag>Gutsy Hardy precise trusty pam tutoriel}}
 ----
@@ Ligne 8: / Ligne 8: @@
 ====== Comment s’authentifier avec une clé USB ? ======
-Nous allons voir ici comment utiliser une clé usb pour se connecter verrouiller/déverrouiller son pc sous Ubuntu (testé sous gutsy mais doit fonctionner sur inférieur) grâce à pam-usb sans passer par la manière traditionnelle (login/mot de passe uniquement). L' idée est que si la clé n'est pas dans un des ports usb du pc, le pc n'est pas utilisable.
+Nous allons voir ici comment utiliser une clé USB pour se connecter verrouiller/déverrouiller son PC sous Ubuntu (testé sous Gutsy mais il devrait fonctionner sur une version antérieure) grâce à pam-usb sans passer par la manière traditionnelle (login/mot de passe uniquement). L'idée est que si la clé n'est pas dans un des ports USB du PC, le PC n'est pas utilisable.
- Dans le cas ou la clé usb est insérée dans un autre ordinateur elle aura le comportement d' une clée usb classique, de plus vous pouvez utiliser votre clé usb comme clé usb de stockage (testé sans problèmes).
+Dans le cas ou la clé USB est insérée dans un autre ordinateur elle aura le comportement d'une clé USB classique, de plus vous pouvez utiliser votre clé USB comme clé USB de stockage (testé sans problèmes).
-Ce tutoriel est une version améliorée du site d' origine: http://pamusb.org
+Ce tutoriel est une version améliorée de celle du site d'origine: http://pamusb.org.
-<note warning>Je vous conseil fortement de lire ce tuto en entier avant de commencer pour être sur de ne pas faire de bourde, en cas de mauvaise configuration vous pourriez ne plus pouvoir vous connecter à votre pc (la fin du tuto traite de la récupération de la connexion en cas de fausse manip' ou de perte de la clé usb ;-) )</note>
+<note warning>Je vous conseille fortement de lire ce tutoriel en entier avant de commencer pour être sûr de ne pas faire de bourde. En cas de mauvaise configuration vous pourriez ne plus pouvoir vous connecter à votre PC (la fin du tutoriel traite de la récupération de la connexion en cas de fausse manipulation ou de perte de la clé USB ;-) )</note>
+<note tip>Pour Oneiric Ocelot les packages n'ont pas été fournis pour notre distribution préférée :-/. Il faut donc dans ce cas précis se tourner vers la compilation à la main ! Pour les fans de lecture en anglais :[[http://ubuntuforums.org/showthread.php?t=17571]]. Pour les autres, bien lire tout le tutoriel comme conseillé et s'attarder sur la partie compilation de ce tuto.</note>
+<note warning>En xenial (16.04), les paquets sont introuvables. L'installation depuis les sources ne fonctionnent pas non plus.</note>
 ===== Pré-requis =====
   * Disposer des [[:sudo|droits d'administration]] ;
   * Disposer d'une connexion à Internet configurée et activée ;
-  * Savoir se servir d'un terminal
+  * Savoir se servir d'un terminal.
 ===== Installation =====
+==== Avec les paquets ====
-Il vous suffit, pour cela, d'[[:tutoriel:comment_installer_un_paquet|installer les paquets]] **[[apt://libpam-usb]] et [[apt://pamusb-tools]]**.
+Il vous suffit, pour cela, d'[[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt://libpam-usb]]**.
+==== Compilation (pour Oneiric) ====
+Si ces paquets ne sont pas fournis (Oneiric), il faut aller chercher les sources ici :
+[[http://www.pamusb.org/ |http://www.pamusb.org/]]
+<note>
+Ou pour ceux qui voudraient utiliser une carte SD en lieu et place d'une clé USB, la source via ce fork :
+[[https://github.com/saro/pam_usb/tree/|https://github.com/saro/pam_usb/tree/]]
+Il s'agit d'une modification de la sécurité de votre système, il convient donc de choisir la source de ce programme avec attention !
+Cette source a été testée sur Ubuntu 11.10 par //[[:utilisateurs:anotherubuntuuser|anotherubuntuuser]] Le 11/03/2012, 17:45//. Fonctionnel dans mon cas, l'émetteur du code semble fiable et impliqué dans le projet, mais à vos risques et péril, comme toujours. :-D
+</note>
+Il vous faudra aussi des paquets supplémentaires, il est question [[http://ubuntuforums.org/showthread.php?t=17571|ici]] d'utiliser :
+libncurses5-dev, libreadline4-dev, GCC (Bien entendu, c'est le compilateur), libssl-dev.
+Dans mon cas, il m'a suffit d'[[:tutoriel:comment_installer_un_paquet|installer les paquets]] **[[apt://libxml2-dev]] [[apt://libpam0g-dev]] et [[apt://libdbus-1-dev]]**.
+Vient ensuite la décompression, la compilation, puis l'installation du tout (vérifier et changer en conséquence le numéro de version du tar.gz téléchargé):
+<code>
+tar xvzf pam_usb-0.3.2.tar.gz
+./configure
+make
+make install
+</code>
+<note tip>En cas d'erreur lors de la compilation (make), ne pas hésiter à rechercher les librairies manquantes, une recherche avec les mots clés "ubuntu" et la librairie qui semble manquer, exemple : "libxml-2.0" dans votre moteur de recherche préféré est très efficace et rapide !</note>
 ===== Configuration =====
-Une fois les paquets installés nous allons, dans un premier temps spécifier la clé usb qui verrouillera/déverrouillera l' ordinateur.
+Une fois les paquets installés nous allons, dans un premier temps spécifier la clé USB qui verrouillera/déverrouillera l'ordinateur.
-Pam-usb créera une clé cryptée à la racine de cette clé usb dans le dossier caché ".pam-usb"
+Pam-usb créera une clé cryptée à la racine de cette clé USB dans le dossier caché ".pam-usb"
-  - Insérez la clé usb dans un des ports du pc
+  - Insérez la clé USB dans un des ports du PC.
-  - Ouvrez un terminal et tapez le code suivant:
+  - Ouvrez un terminal et tapez le code suivant :
  <code>$ sudo pamusb-conf --add-device nom_de_ma_clé
@@ Ligne 49: / Ligne 60: @@
 <note tip>"nom_de_ma_clé" est à remplacer par le nom que vous voulez donner à votre clé</note>
- pamusb-conf va lister les périphériques usb montés sur l'ordinateur, dans le cas où il n'y en a qu'un il vous le proposera d'office, il suffira donc de taper Y et entrée:
+ pamusb-conf va lister les périphériques USB montés sur l'ordinateur, dans le cas où il n'y en a qu'un il vous le proposera d'office, il suffira donc de taper Y et entrée :
 <code>
@@ Ligne 65: / Ligne 76: @@
 Done.
 </code>
- dans le cas ou il y en a plusieurs il les liste et leur attribue un numéro, à vous de choisir celui que vous voulez.
+ dans le cas où il y en a plusieurs il les liste et leur attribue un numéro, à vous de choisir celui que vous voulez.
 Laissez le terminal ouvert.
-<note tip>Il est préférable de n'avoir que la clé usb voulue de connectée pour éviter toute confusion au moment de cette manipulation</note>
+<note tip>Il est préférable de n'avoir que la clé USB voulue de connectée pour éviter toute confusion au moment de cette manipulation</note>
+<note>Pour ceux qui tentent d'utiliser une SD card plutôt qu'une clé USB, le périphérique est appelé mmcblk0 ou équivalent</note>
-Nous allons maintenant définir les utilisateurs concernés par le verrouillage/déverrouillage, pour cela tapez dans le terminal:
+Nous allons maintenant définir les utilisateurs concernés par le verrouillage/déverrouillage, pour cela tapez dans le terminal :
 <code>sudo pamusb-conf --add-user nom_d_utilisateur </code>
-<note tip>"nom_d_utilisateur" est à remplacer par votre nom d' utilisateur</note>
+<note tip>"nom_d_utilisateur" est à remplacer par votre nom d'utilisateur</note>
-Vous obtenez:
+Vous obtenez :
 <code>Which device would you like to use for authentication ?
   * Using "MyDevice" (only option)
@@ Ligne 81: / Ligne 92: @@
 Tapez Y et la touche entrée pour confirmer.
-À cette étape nous ajoutons sudo afin qu' il soit authentifié par pam-usb, sans cela vous ne pourrez avoir accès aux commandes nécessitantes de passer par sudo
-<note warning>Attention, à partire de ce moment votre mot de passe ne sera plus demandé pour l'installation de programmes. Veillez à ce que ceux-ci PROVIENNENT D UNE SOURCE SÛRE ! (Ce qui devrait être le cas tout le temps mais un rappel ne fait jamais de mal ;-) ) </note>
-<code>sudo pamusb-conf --add-user sudo
-  Which device would you like to use for authentication ?
-  * Using "MyDevice" (only option)
-  User            : sudo
-  Device          : MyDevice
-  Save to /etc/pamusb.conf ?
-  [Y/n] y
-  Done.</code>
 Laissez le terminal ouvert.
-Nous allons simuler l'authentification d'un utilisateur pour voir si cela fonctionne, tapez dans le terminal
+Nous allons simuler l'authentification d'un utilisateur pour voir si cela fonctionne, tapez dans le terminal :
-<code>pamusb-check sudo</code>
+<code>pamusb-check nom_d_utilisateur</code>
 l'opération devrait se dérouler comme ceci:
-<code>pamusb-check sudo
+<code>pamusb-check --service=sudo nom_d_utilisateur
-* Authentication request for user "sudo" (pamusb-check)
+* Authentication request for user "nom_d_utilisateur" (sudo)
 * Device "MyDevice" is connected (good).
 * Performing one time pad verification...
-* Verification match, updating one time pads...
 * Access granted.</code>
 Laissez le terminal ouvert.
-Deux possibilités:
+Deux possibilités :
--Ça ne marche pas: vous avez raté les configs, désinstallez complètement puis réinstallez pam-usb et reprenez depuis le début (tapez dans le terminal):
+-Ça ne marche pas : vous avez raté les configs ; désinstallez complètement puis réinstallez pam-usb et reprenez depuis le début (tapez dans le terminal):
 <code>sudo apt-get remove --purge libpam-usb pamusb-tools && sudo apt-get autoremove && sudo apt-get install libpam-usb pamusb-tools</code>
--Ça marche: on continue 8-)
+-Ça marche : on continue 8-)
-<note warning>Les sources de pam-usb ont un bug! (source: https://bugs.launchpad.net/ubuntu/+source/libpam-usb/+bug/133100 ) Avant de continuer nous allons éditer le fichier "/usr/bin/pamusb-agent"
-<code>sudo gedit /usr/bin/pamusb-agent</code>
-remplacez la ligne 30:
-<code>import xml.elementtree.ElementTree as et</code>
-par:
-<code>import xml.etree.ElementTree as et</code>
-Enregistrez le fichier et fermez le</note>
-<note warning>L' opération suivante est délicate, si vous vous ratez vous ne pourrez peut-être plus vous connecter à votre ordinateur!</note>
-Nous allons commencer par faire une copie de /etc/pam.d/common-auth, tapez dans le terminal:
+=== Configuration de PAM ===
+C'est lui qui autorise l'authentification.
+<note warning>L'opération suivante est délicate, si vous vous ratez vous ne pourrez peut-être plus vous connecter à votre ordinateur!</note>
+Nous allons commencer par faire une copie de /etc/pam.d/common-auth, tapez dans le terminal :
 <code>sudo cp /etc/pam.d/common-auth /etc/pam.d/common-auth.back</code>
- Puis nous allons éditer /etc/pam.d/common-auth afin que la présence de la clé soit indispensable pour déverrouiller ou se connecter à l' ordinateur, tapez dans le terminal:
+Puis nous allons éditer /etc/pam.d/common-auth afin que la présence de la clef soit indispensable pour s'authentifier auprès des différentes applications (login, gdm,sudo, ...)
 <code>sudo gedit /etc/pam.d/common-auth</code>
-Votre fichier devrait ressembler à ça:
+Votre fichier devrait ressembler à ça sous karmic (9.10)
-<code>#
+<code>
+#
 # /etc/pam.d/common-auth - authentication settings common to all services
 #
@@ Ligne 136: / Ligne 136: @@
 # traditional Unix authentication mechanisms.
 #
+# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
+# To take advantage of this, it is recommended that you configure any
+# local modules either before or after the default block, and use
+# pam-auth-update to manage selection of other modules.  See
+# pam-auth-update(8) for details.
+# here are the per-package modules (the "Primary" block)
+auth	[success=1 default=ignore]	pam_unix.so nullok_secure
+# here's the fallback if no module succeeds
+auth	requisite			pam_deny.so
+# prime the stack with a positive return value if there isn't one already;
+# this avoids us returning an error just because nothing sets a success code
+# since the modules above will each just jump around
+auth	required			pam_permit.so
+# and here are more per-package modules (the "Additional" block)
+# end of pam-auth-update config
+</code>
-auth    requisite      pam_unix.so nullok_secure
+Nous allons insérer la ligne suivante pour que la clef soit nécessaire à l'authentification ( clef + mot de passe )
-auth	optional       pam_smbpass.so migrate missingok</code>
-Nous allons insérer la ligne suivante:
 <code>auth    required    pam_usb.so</code>
-et remplacer
+ou ceci pour la clef soit suffisante à l'authentification (Clef seul sans mot de passe)
-<code>auth    requisite      pam_unix.so nullok_secure</code>
+<code>auth    sufficient    pam_usb.so</code>
-par
+Ce qui donne :
-<code>auth    required      pam_unix.so nullok_secure</code>
+<code>
-pour obtenir:
-<code>#
-# /etc/pam.d/common-auth - authentication settings common to all services
 #
-# This file is included from other service-specific PAM config files,
-# and should contain a list of the authentication modules that define
-# the central authentication scheme for use on the system
-# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
-# traditional Unix authentication mechanisms.
-#
-auth    required       pam_usb.so
-auth    required       pam_unix.so nullok_secure
-auth	optional       pam_smbpass.so migrate missingok</code>
-Nous allons ajoutter pamusb-agent aux services à démarrer automatiquement au démarrage (hem^^), pour cela nous allons dans système>préférences>sessions,
-on clic sur ajouter puis nous entrons <code>pamusb</code> pour le nom et <code>pamusb-agent</code> pour la commande
-Et voila le tour est joué ^_^ .
-Il vous faudra maintenant votre clé usb + votre mot de passe pour vous connecter ou déverrouiller l'ordinateur.
-Si vous voulez uniquement utiliser la clé usb et ne plus avoir à taper de mot de passe, au moment de l'édition de "/etc/pam.d/common-auth" commentez la ligne "auth    required      pam_unix.so nullok_secure", votre fichier doit alors être:
-<code>#
 # /etc/pam.d/common-auth - authentication settings common to all services
 #
@@ Ligne 173: / Ligne 168: @@
 # traditional Unix authentication mechanisms.
 #
-auth    required       pam_usb.so
+# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
-#auth    required       pam_unix.so nullok_secure
+# To take advantage of this, it is recommended that you configure any
-auth	optional       pam_smbpass.so migrate missingok</code>
+# local modules either before or after the default block, and use
-vous n'avez plus besoin de taper votre mot de passe pour vous connecter ou déverrouiller le pc
+# pam-auth-update to manage selection of other modules.  See
+# pam-auth-update(8) for details.
+auth    sufficient    pam_usb.so
+# here are the per-package modules (the "Primary" block)
+auth	[success=1 default=ignore]	pam_unix.so nullok_secure
+# here's the fallback if no module succeeds
+auth	requisite			pam_deny.so
+# prime the stack with a positive return value if there isn't one already;
+# this avoids us returning an error just because nothing sets a success code
+# since the modules above will each just jump around
+auth	required			pam_permit.so
+# and here are more per-package modules (the "Additional" block)
+# end of pam-auth-update config
+</code>
+==== Utilisation de pamusb-agent ====
+L'agent va nous permettre de réagir aux événements de la clef (insérer ou retirer la clef)
+=== démarrage du daemon ===
+Ajoutons pamusb-agent aux services à démarrer, pour cela nous allons dans
+système>préférences>applications au démarrage
+on clic sur ajouter puis nous entrons pour le nom  <code>pamusb</code>et pour la commande <code>pamusb-agent</code>
+=== ajout des évènements ===
+[[:tutoriel:comment_modifier_un_fichier|Ouvrez le fichier]] **/etc/pamusb.conf**.
+<code>
+<agent event="lock">gnome-screensaver-command --lock</agent>
+<agent event="unlock">gnome-screensaver-command --deactivate</agent>
+</code>
+Ces lignes doivent être placées sous la section de l'utilisateur qui vous concerne
+exemple
+<code>
+...
+<user id="vincent">
+<device>
+	transcend_vincent
+</device>
+<agent event="lock">gnome-screensaver-command --lock</agent>
+<agent event="unlock">gnome-screensaver-command --deactivate</agent>
+</user>
+...
+</code>
-===== Utilisation=====
-Nous avons vu "connecter" et "déverrouiller" l'ordinateur mais qu'en est-il du verrouillage dans le cas ou vous êtes déja connecté et votre ordinateur est allumé?
-La doc officielle montre comment déclencher et bloquer l'écran de veille au démontage de la clé et désactiver l'écran de veille au remontage de celle-ci mais cela ne marche que quand la clé usb est OPTIONELLE (sufficient) et non NÉCESSAIRE (requierd) au déverrouillage, ce qui de ce fait ne vérouille pas le pc sans la clé usb.
-La seule alternative que j'ai trouvée est de régler l'économiseur d'écran (>système>préférences>économiseur d' écran) pour qu'il s'active à une minute et qu'il soit bloqué (vérouillez l'option: "Verrouiller l'écran quand l' économiseur d'écran est actif" dans le géstionnaire d'économiseur d'écran)
-Si vous devez laisser votre ordinateur travailler et que personne n'y accède il vous suffit de déconnecter votre clé usb, le temps de vous préparer à faire autre chose (environ une minute minimum ^_^) l'économiseur d'écran sera activé et votre pc sera vérouillé...
-Il vous suffira à votre retour de connecter la clé et de rentrer votre mot de passe (ou simplement bouger la souris ou appuyer sur une touche du clavier si vous avez désactivé l'authentification par mot de passe) pour vous reconnecter. Le montage de la clé usb prend quelques secondes donc ne paniquez pas en cas d'échec à la première tentative de déverrouillage par mot de passe et recommencez ;-)
+Et voilà :-)
+Retirer votre clef lock la session, brancher la clef unlock ..
 ===== Désinstallation =====
-Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer les paquet]], rentrez dans un terminal:
+Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer les paquets]], rentrez dans un terminal :
 <code>sudo apt-get remove --purge libpam-usb pamusb-tools</code>
-<note warning>Les fichiers de configuration seront supprimés et il ne faut pas oublier de remplacer le fichier /etc/pam.d/common-auth par la copie précédament faite:</note>
+<note warning>Les fichiers de configuration seront supprimés et il ne faut pas oublier de remplacer le fichier /etc/pam.d/common-auth par la copie précédemment faite :</note>
 <code>sudo mv -f /etc/pam.d/common-auth.back /etc/pam.d/common-auth</code>
@@ Ligne 217: / Ligne 239: @@
 ==== Impossible de se connecter ====
-Redémarrez l'ordinateur, affichez grub si il ne se fait pas de lui même (tapotez la touche esc après le démarrage du bios)
+Redémarrez l'ordinateur, affichez grub s'il ne se fait pas de lui-même (tapotez la touche esc après le démarrage du bios)
 Choisissez le démarrage de secours (recovery mode) et choisissez le shell root.
-remplacez le fichier /etc/pam.d/common-auth par la sauvegarde:
+remplacez le fichier /etc/pam.d/common-auth par la sauvegarde :
 <code>mv -f /etc/pam.d/common-auth.back /etc/pam.d/common-auth</code>
 Redémarrez.
-La méthode d' authentification traditionnelle est rétablie, il ne vous reste plus qu'à reprendre à "ça marche pas" dans la partie "configuration".
+La méthode d'authentification traditionnelle est rétablie, il ne vous reste plus qu'à reprendre à "ça ne marche pas" dans la partie "configuration".
-En aucun cas l' absence de la clé usb vous empêchera d' ouvrire la session recovery.
+En aucun cas l'absence de la clé USB vous empêchera d'ouvrir la session recovery.
 ===== Liens =====
@@ Ligne 232: / Ligne 252: @@
 ----
-//Contributeurs : [[:utilisateurs:furious-therapy]].//
+//Contributeurs : [[:utilisateurs:furious-therapy]], [[:utilisateurs:Mysteroïd]],[[:utilisateurs:root75]],[[:utilisateurs:anotherubuntuuser]].//