Der erste Eindruck vom Umfang dieses Wiki<\/a>s täuscht. Im Allgemeinen sind nur drei einfache Arbeitsschritte nötig, um eine passwortlose Anmeldung am Linux<\/a> zu realisieren.<\/p>\n\n\n\n
Da es aber gerade beim Thema Sicherheit von Vorteil ist, zu wissen, was man tut, und ich noch einige Sonderfälle beim Umgang mit einem FIDO2-Key vorstellen wollte, ist das Wiki<\/a> deutlich umfangreicher ausgefallen, als ursprünglich geplan<\/a>t …<\/p>\n\n\n\n FIDO (Fast IDentity Online) ist ein offener und lizenzfreier Standard mit dem Ziel, Passwörter für die Authentifizierung zu ersetzen. Wer sich intensiver mit FIDO befassen möchte, findet im Internet zahlreiche Artikel zum Thema, wie z.B.: PAM<\/a> ist bei unix<\/a>oiden Betriebssystem<\/a>en (wie Linux<\/a>) eine zentrale Schnittstelle für Authentifizierungs-Anforderungen. Somit müssen Softwareentwickler nicht für jede Anwendung den Code für die Benutzeranmeldung neu schreiben, sondern können diese Aufgabe an PAM<\/a> delegieren. Obwohl die Einrichtung erfreulich einfach ist, gibt es – vor allem beim Bearbeiten der Konfiguration<\/a>sdatei<\/a>en – einige Stolperfallen zu beachten. Andernfalls könnte man sich im schlimmsten Fall aus seinem eigenen PC aussperren. Daher ist es empfehlenswert, die ersten Gehversuche mit FIDO an einem Test-PC oder in einer virtuellen Maschine zu üben. (Siehe auch Abschnitt „Hife, ich habe mich ausgesperrt!”.)<\/p>\n\n\n\n Zunächst muss das PAM<\/a>-Modul für FIDO installiert werden. Dieses ist bei den gängigen Distribution<\/a>en in den Repository<\/a>s enthalten. Das Paket<\/a> `libpam<\/a>-u2f` enthält das PAM<\/a>-Modul `pam<\/a>_u2f.so` für die Authentifizierung per FIDO2. Das PAM<\/a>-Modul findet sich im Verzeichnis<\/a> `\/usr\/lib\/x86_64-linux<\/a>-gnu<\/a>\/security`. Das Helper-Tool `pam<\/a>u2fcfg` hilft bei der Registrierung des FIDO2-Sticks am System. Das Program<\/a>mpaket<\/a>`fido2-tools` enthält Program<\/a>me zum Verwalten des FIDO2-Keys (Siehe Abschnitt „FIDO2-Key mit PIN schützen”). Mit dem Param<\/a>eter `-y` werden die Paket<\/a>e ohne weitere Rückfragen installiert. Bei Rolling-Release<\/a>s (wie z.B. Manjaro) sollten neue Program<\/a>me nur installiert werden, wenn das Betriebssystem<\/a> zuvor auf den neuesten Stand gebracht wurde. Der Param<\/a>eter `-Syu` stellt dies sicher. Der Param<\/a>eter `–noconfirm` bewirkt eine Installation aller Paket<\/a>e ohne weitere Rückfragen. Wer das nicht will, lässt diesen Param<\/a>eter einfach weg. Das Paket<\/a> `pam<\/a>-u2f` enthält neben dem PAM<\/a>-Modul auch das Helper-Tool `pam<\/a>u2fcfg`. Das Paket<\/a> `libfido2-utils` enthält u.a. das Verwaltungstool `fido2-token`. Das Paket<\/a> `pam<\/a>-u2f` enthält das PAM<\/a>-Modul `pam<\/a>_u2f.so`. Das Helper-Tool `pam<\/a>u2fcfg` hilft bei der Registrierung des FIDO2-Sticks am System. Das Program<\/a>mpaket<\/a>`fido2-tools` enthält Program<\/a>me zum Verwalten des FIDO2-Keys (Siehe Abschnitt „FIDO2-Key mit PIN schützen”). Mit dem Param<\/a>eter `-y` werden die Paket<\/a>e ohne weitere Rückfragen installiert.<\/p>\n\n\n\n Ein FIDO2-Key ist nach dem Neukauf sofort einsatzbereit. Es ist nicht notwendig, vor der Nutzung manuell ein Schlüsselpaar zu generieren, wie es z.B bei klassischen SmardCards notwendig ist. Danach erfolgt die eigentliche Registrierung – die Verknüpfung von Benutzerkonto und FIDO2-Key. Nach dem Anstecken des FIDO2-Keys an einem USB<\/a>-Port muss folgender Befehl<\/a> mit dem gewünschten Benutzerkonto (also nicht root<\/a>) ausgeführt werden. Zur Bestätigung der Registrierung muss dabei der FIDO2-Key kurz berührt werden. (Ist der FIDO2-Key mit einer PIN geschützt, muss diese zusätzlich eingegeben werden. Siehe auch Abschnitt „FIDO2-Key mit PIN schützen“.)<\/p>\n\n\n\n `pam<\/a>u2fcfg` gibt die Schlüsseldaten<\/a> lediglich auf dem Bildschirm aus. Diese werden daher mit dem Pipe-Kommando (`|`) an `tee` übergeben, welches die Schlüsseldaten<\/a> zusätzlich an die Registrierungsdatei<\/a> `\/etc\/fido2\/u2f_keys` anfügt (`-a`).<\/p>\n\n\n\n Weitere Infos unter: Nach der Registrierung des FIDO2-Keys am PC, muss dem Linux<\/a> über die PAM<\/a>- Konfiguration<\/a>sdatei<\/a> noch mitgeteilt werden, für welchen Anmeldeprozess (Anmeldung am Desktop<\/a>, sudo<\/a>, usw.) künftig der FIDO2-Key genutzt werden soll. Jeder Anmelde-Dienst, welcher über PAM<\/a> gesteuert wird, ist in diesem Verzeichnis<\/a> mit einer Konfiguration<\/a>sdatei<\/a> vertreten. Der Service-Typ „auth“ weist PAM<\/a> an, dass eine Benutzer-Authentifizierung durchgeführt werden soll. Das Control-Flag „sufficient“ beendet PAM<\/a> bei einer erfolgreichen Authentifizierung, alle nachfolgenden Konfiguration<\/a>szeilen werden ignoriert. „pam<\/a>_u2f.so“ ist das PAM<\/a>-Modul, welches mit dem FIDO2-Key kommuniziert und „authfile“ benennt die Datei<\/a> mit den FIDO2-Schlüsseldaten<\/a>. Der Schalter „cue“ erzeugt während einer Anmeldung einen Hinweis, der zum Berühren des FIDO2-Keys auffordert. Über den Param<\/a>eter „cue_prompt<\/a>“ kann ein individueller Hinweistext hinterlegt werden. Die ecki<\/a>gen Klammen um cue_prompt<\/a> sind notwendig, wenn der Hinweistext Leerzeichen enthält. Das Ergebnis steht in der ersten Ausgabezeile, z.B.:<\/p>\n\n\n\n In diesem Fall wird also der Displaymanager<\/a> LightDM<\/a> für die graphische Anmeldung am Linux<\/a> verwendet, wie es z.B. bei Xubuntu der Fall ist.<\/p>\n\n\n\n Die PAM<\/a>-Datei<\/a>en für die verschiedenen Displaymanager<\/a> lauten: PAM<\/a>-Datei<\/a> für sudo<\/a> (\/etc\/pam<\/a>.d\/sudo<\/a>)<\/strong> Direkt oberhalb der Zeile `„@include common-auth“` wird die Konfiguration<\/a>szeile für FIDO2 eingefügt.<\/p>\n\n\n\n Nach dem Speichern<\/a> der Datei<\/a> \/etc\/pam<\/a>.d\/sudo<\/a> öffnen Sie zum Test ein neues Terminal<\/a> und geben zum Test folgendes Kommando ein:<\/p>\n\n\n\n Der FIDO2-Key beginnt zu blinken, um Sie zur Berührung aufzufordern. Zusätzlich erscheint im Terminal<\/a> die Aufforderung: „Bitte den FIDO-Key berühren …“. Wird der FIDO2-Key nicht innerhalb von 30 Sekunden berührt, interpretiert PAM<\/a> den FIDO2-Key als nicht vorhanden und fordert daraufhin ganz klassisch zur Eingabe des Benutzerpassworts auf. Nach dem Speichern<\/a> von \/etc\/pam<\/a>.d\/login<\/a> öffnen Sie zum Test ein TTY-Terminal<\/a> mit der Tastenkombination STRG + ALT + F3. Mit STRG + ALT + F7 kommen Sie zurück zur graphischen Desktop<\/a>.<\/p>\n\n\n\n PAM<\/a>-Datei<\/a> für Anmeldung am graphischen Desktop<\/a><\/strong> Welche PAM<\/a>-Datei<\/a> Sie anpassen müssen, ist im Abschnitt „PAM<\/a> für Anmeldung am Desktop<\/a> konfigurieren“ weiter oben beschrieben. Zum Test genügt das Abmelden vom graphischen Desktop<\/a>. Der Anmelde-Dialog des Displaymanager<\/a>s fordert nun zum Berühren des FIDO2-Keys auf.<\/p>\n\n\n\n Der Hinweis des des Displaymanager<\/a>s LightDM<\/a> „Bitte ihr Passwort eingeben…“ ist irreführend und muss ignoriert werden, da er nicht zum Erfolg führt. PAM<\/a>-Datei<\/a> common-auth<\/strong><\/p>\n\n\n\n Die Datei<\/a> \/etc\/pam<\/a>.d\/common-auth definiert grundlegende gemeinsame Authentifizierungsmethoden für das gesamte System. Die meisten Konfiguration<\/a>sdatei<\/a>en für die einzelnen Dienste inkludieren über das Kommando „@include common-auth“ diese Grundeinstellungen. Fügt man die Konfiguration<\/a>szeile für den FIDO2-Key in \/etc\/pam<\/a>.d\/common-auth ein, ist eine Anpassung der individuellen PAM<\/a>-Datei<\/a>en (sudo<\/a>, login<\/a>, lightdm<\/a>, etc.) nicht mehr notwendig. Bei Manjaro<\/strong> wird die Zeile für den FIDO2-Key in den PAM<\/a>-Datei<\/a>en \/etc\/pam<\/a>.d\/sudo<\/a> und \/etc\/pam<\/a>.d\/login<\/a> und der Datei<\/a> für den Displaymanager<\/a> (siehe Abschnitt „PAM<\/a> für Anmeldung am Desktop<\/a> konfigurieren“ weiter oben) als zweite Zeile nach „#%PAM<\/a>-1.0“ eingefügt.<\/p>\n\n\n\n Wie bei Debian<\/a> kann auch bei Manjaro zum Test ein TTY-Terminal<\/a> mit der Tastenkombination STRG + ALT + F3 geöffnet und mit STRG + ALT + F7 zum graphischen Desktop<\/a> zurückgekehrt werden.<\/p>\n\n\n\n Nutzen Sie bei Manjaro den Displaymanager<\/a> „LightDM<\/a>”, empfiehlt sich zusätzlich das Program<\/a>mpaket<\/a> „lightdm<\/a>-slick-greeter“ zu installieren. Siehe dazu auch den Abschnitt „PAM<\/a>-Datei<\/a> für Anmeldung am graphischen Desktop<\/a>” unterhalb des Abschnitts „3.1 PAM<\/a> unter Debian<\/a>, Ubuntu und Co konfigurieren”.<\/p>\n\n\n\n PAM<\/a>-Datei<\/a> system-auth<\/strong> Auch hier wird die Zeile für den FIDO2-Key als zweite Zeile nach „#%PAM<\/a>-1.0“ eingefügt.<\/p>\n\n\n\n Bei OpenSuse<\/strong> wird die Zeile für den FIDO2-Key in den PAM<\/a>-Datei<\/a>en \/etc\/pam<\/a>.d\/sudo<\/a> und \/etc\/pam<\/a>.d\/login<\/a> und der Datei<\/a> für den Displaymanager<\/a> \/etc\/pam<\/a>.d\/gdm<\/a> als zweite Zeile nach „#%PAM<\/a>-1.0“ eingefügt. (Siehe auch Abschnitt „PAM<\/a> für Anmeldung am Desktop<\/a> konfigurieren“ weiter oben.)<\/p>\n\n\n\n Damit der FIDO2-Key für sudo<\/a> genutzt werden kann, muss er zusätzlich für das Konto „root<\/a>“ registriert werden. Für Details siehe auch Abschnitt „Weitere Benutzerkonten registrieren“.<\/p>\n\n\n\n Da in der Registrierungsdatei<\/a> `\/etc\/fido2\/u2f_keys` die Registrierung für jedes Nutzerkonto in einer eigenen Zeile stehen muss, fügt das Kommando `echo -e ‚\\r‘ | sudo<\/a> tee -a \/etc\/fido2\/u2f_keys` zunächst einen Zeilenvorschub „CR” (Carriage Return) an, bevor mit `pam<\/a>u2fcfg -u root<\/a> | sudo<\/a> tee -a \/etc\/fido2\/u2f_keys` der FIDO2-Key für das Konto „root<\/a>“ registriert wird. (Der Operator<\/a> `&&` ist nötig, um die beiden Befehl<\/a>e zu einer Kommandozeile zu verbinden). Zum Test der Konfiguration<\/a> in \/etc\/pam<\/a>.d\/login<\/a> kann bei OpenSuse ein TTY-Terminal<\/a> mit der Tastenkombination STRG + ALT + F3 geöffnet werden. Mit STRG + ALT + F2 wird zum graphischen Desktop<\/a> zurückgekehrt. Die eigenständige Datei<\/a> common-auth wird bei einem Update<\/a> nicht angetastet, die persönlichen Anpassungen bleiben somit erhalten. Bei Fedora<\/strong> wird die Zeile für den FIDO2-Key in den PAM<\/a>-Datei<\/a>en \/etc\/pam<\/a>.d\/sudo<\/a> und \/etc\/pam<\/a>.d\/login<\/a> als zweite Zeile nach „#%PAM<\/a>-1.0“ eingefügt.<\/p>\n\n\n\n Zum Test der Konfiguration<\/a> in \/etc\/pam<\/a>.d\/login<\/a> kann bei Fedora ein TTY-Terminal<\/a> mit der Tastenkombination STRG + ALT + F3 geöffnet werden. Mit STRG + ALT + F2 wird zum graphischen Desktop<\/a> zurückgekehrt.<\/p>\n\n\n\n <\/p>\n\n\n\n Die FIDO2<\/strong><\/h2>\n\n\n\n
Die Authentifizierung mit FIDO basiert auf kryptographischen Schlüsseln und ist dabei sicherer und einfacher in der Anwendung als Passwörter.
FIDO2 ist eine Weiterentwicklung von FIDO, die neben der klassischen Zwei-Faktor<\/a>-Authentifizierung (2FA) auch passwortlose Anmeldung ermöglicht.
Grundlage einer FIDO2-Authentifizierung ist ein sogenannter Authentikator<\/a>, ein USB<\/a>-Stick mit Sicherheits-Chip, in diesem Wiki<\/a> kurz „FIDO2-Key“ genannt.
Passende FIDO2-Keys gibt es z.B. bei Yubico, Nitrokey und SoloKey.
Nitrokey<\/a>
Yubico<\/a>
SoloKeys<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-01.jpg\")
fidoalliance.org<\/a>
computerwoche.de<\/a>
heise.de<\/a>
Entwickelt wurde FIDO2 zur Anmeldung bei Online-Diensten, doch auch die Anmeldung am lokalen Desktop<\/a> ist damit möglich. Hierbei kommt, statt der für Online-Authentifizierungen notwendigen WebAuthn-Spezifikation, das PAM<\/a> (Pluggable Authentication Modules) zum Einsatz.<\/p>\n\n\n\nPAM<\/strong><\/h2>\n\n\n\n
Das Zusammenspiel von FIDO2 und PAM<\/a> macht die passwortlose Anmeldung an Linux<\/a> besonders einfach.
Notwendige Arbeitsschritte zur Einrichtung<\/strong>
Die Einrichtung einer Anmeldung mithilfe eines FIDO2-Keys teilt sich in drei Schritte auf:<\/p>\n\n\n\n\n
1. Installation der notwendigen Programmpakete<\/strong><\/h2>\n\n\n\n
Debian<\/a>, Ubuntu und Co.<\/strong>
Bei Debian<\/a> und den darauf basierenden Distribution<\/a>en sind folgende Program<\/a>mpaket<\/a>e über die Repositor<\/a>ies zu installieren.<\/p>\n\n\n\nsudo apt install libpam-u2f pamu2fcfg fido2-tools -y<\/code><\/pre>\n\n\n\n
Manjaro<\/strong>
Bei Manjaro werden die notwendigen Paket<\/a>e über folgenden Befehl<\/a> installiert.<\/p>\n\n\n\nsudo pacman -Syu pam-u2f --noconfirm<\/code><\/pre>\n\n\n\n
Das Paket<\/a> `pam<\/a>-u2f` enthält neben dem PAM<\/a>-Modul auch das Helper-Tool. Über die Paket<\/a>abhängigkeiten wird zusätzlich `libfido2` installiert. Es ist verantwortlich für die Kommunikation mit dem FIDO2 Gerät über das CTAP-Protokoll und enthält u.a. `fido2-token`.
OpenSuse<\/strong><\/p>\n\n\n\nsudo zypper --non-interactive install pam_u2f libfido2-utils<\/code><\/pre>\n\n\n\n
Der Param<\/a>eter `–non-interactive` startet die Installation ohne weitere Nachfragen.
Fedora<\/strong><\/p>\n\n\n\nsudo dnf install pam-u2f pamu2fcfg fido2-tools -y<\/code><\/pre>\n\n\n\n2. Registrieren des FIDO2-Keys<\/strong><\/h2>\n\n\n\n
Er muss lediglich am Zielsystem (in unserem Fall der lokale PC) für die Authentifizierung registriert werden.
Dazu wird mit dem installierten Helper-Tool `pam<\/a>u2fcfg` ein Benutzerkonto mit den Schlüsseldaten<\/a> des FIDO2-Keys verknüpft.
Zuvor wird mit folgendem Kommando ein Verzeichnis<\/a> für die Schlüsseldaten<\/a> erstellt.<\/p>\n\n\n\nsudo mkdir \/etc\/fido2<\/code><\/pre>\n\n\n\npamu2fcfg | sudo tee -a \/etc\/fido2\/u2f_keys<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-02.png\")
<\/a>
pamu2fcfg manpage<\/a><\/p>\n\n\n\n3. PAM-Konfiguration anpassen<\/strong><\/h2>\n\n\n\n
Die PAM<\/a>-Konfiguration<\/a>sdatei<\/a>en befinden sich bei allen Distribution<\/a>en im Verzeichnis<\/a><\/p>\n\n\n\n\/etc\/pam.d\/<\/code><\/pre>\n\n\n\n
Bei einigen Datei<\/a>en ist die Zugehörigkeit offensichtlich, wie z.B. „sudo<\/a>“. Die Identifikation der Konfiguration<\/a>sdatei<\/a>en zur Anmeldung am Linux<\/a>-Desktop<\/a> erfordern hingegen etwas Hintergrundwissen – mehr dazu im Abschnitt „PAM<\/a> für Anmeldung am Desktop<\/a> konfigurieren“.
Der Verweis auf das PAM<\/a>-Modul muss in der gewünschten PAM<\/a>-Datei<\/a> an der richtigen Stelle eingefügt werden:<\/p>\n\n\n\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]<\/code><\/pre>\n\n\n\n
Wichtig zu wissen ist, dass Änderungen an den PAM<\/a>-Konfiguration<\/a>sdatei<\/a>en sofort nach dem Speichern<\/a> aktiv werden. Unterlaufen bei der PAM<\/a>-Konfiguration<\/a> Fehler, kann man sich unter Umständen aus dem eigenen System aussperren. Es ist daher empfehlenswert, die PAM<\/a>-Datei<\/a> zu speichern<\/a>, ohne den Texteditor<\/a> zu schließen. Sollte die Anmeldung beim Test nicht wie erwartet funktionieren, kann mit dem noch geöffneten Texteditor<\/a> die PAM<\/a>-Datei<\/a> korrigiert werden. Weitere Tipps finden Sie im Abschnitt „Hife, ich habe mich ausgesperrt!“<\/strong>
Die hier vorgestellten Anpassungen der PAM<\/a>-Datei<\/a> sind jedoch unkritisch. Scheitert die Anmeldung per FIDO2-Key, erscheint die übliche Abfrage des Benutzer-Passworts.
PAM<\/a> für Anmeldung am Desktop<\/a> konfigurieren<\/strong>
Der Displaymanager<\/a>, auch Login<\/a>manager genannt, stellt eine graphische Umgebung für die Benutzeranmeldung zur Verfügung. (Nicht zu verwechseln mit der Desktop<\/a>umgebung, wie z.B. KDE, Gnome<\/a>, XFCE<\/a>, usw.)
Die bekanntesten Displaymanager<\/a>:
LightDM<\/a> Light Display Manager (XFCE<\/a>)
GDM<\/a> Gnome<\/a> Display Manager (Gnome<\/a>)
SDDM<\/a> Simple Desktop<\/a> Display Manager (KDE)
Für jede Desktop<\/a>umgebung ist ein bestimmter Displaymanager<\/a> üblich. Diese Beziehung ist jedoch nicht fest, sondern kann individuell geändert werden. Welcher Displaymanager<\/a> verwendet wird, kann mit folgendem Kommando ausgelesen werden:<\/p>\n\n\n\nsystemctl status display-manager<\/code><\/pre>\n\n\n\n\u25cf lightdm.service - Light Display Manager<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-03-1024x363.png\")
# LightDM<\/a>
\/etc\/pam<\/a>.d\/lightdm<\/a>
# GDM<\/a>
\/etc\/pam<\/a>.d\/gdm<\/a>-password
# GDM<\/a> bei OpenSuse
\/etc\/pam<\/a>.d\/gdm<\/a>
# SDDM<\/a>
\/etc\/pam<\/a>.d\/sddm<\/a><\/p>\n\n\n\n3.1 PAM unter Debian, Ubuntu und Co konfigurieren<\/strong><\/h2>\n\n\n\n
Die PAM<\/a>-Konfiguration<\/a>sdatei<\/a> für sudo<\/a> ist unschwer am Datei<\/a>namen `\/etc\/pam<\/a>.d\/sudo<\/a>` zu erkennen. Öffnen Sie die Datei<\/a> (als root<\/a>) mit einem Texteditor<\/a>:<\/p>\n\n\n\nsudo nano \/etc\/pam.d\/sudo<\/code><\/pre>\n\n\n\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]\n@include common-auth<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-04-1024x363.png\")
sudo bash<\/code><\/pre>\n\n\n\n
Sobald die den FIDO2-Key berühren, öffnet sich die root<\/a>-Shell<\/a>.<\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-05-1024x362.png\")
PAM<\/a>-Datei<\/a> für TTY-Terminal<\/a> (\/etc\/pam<\/a>.d\/login<\/a>)<\/strong>
Zur Steuerung der Anmeldung an einem TTY-Terminal<\/a> dient die PAM<\/a>-Datei<\/a> \/etc\/pam<\/a>.d\/login<\/a>. Hier muss – ebenso wie in \/etc\/pam<\/a>.d\/sudo<\/a> – die Zeile für die FIDO2-Key direkt oberhalb von „@include common-auth“ eingefügt werden.<\/p>\n\n\n\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]\n@include common-auth<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-06-1024x361.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-07.png\")
Auch bei den verschiedenen PAM<\/a>-Datei<\/a>en für die Displaymanager<\/a> muss die Konfiguration<\/a>szeile für FIDO2 direkt oberhalb der Zeile „@include common-auth” eingefügt wenden.<\/p>\n\n\n\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]\n@include common-auth<\/code><\/pre>\n\n\n\n
Im folgenden Bild, beispielhaft für \/etc\/pam<\/a>.d\/lightdm<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-08-1024x360.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-09.png\")
Einfach den FIDO2-Key der Debian<\/a>-Konfiguration<\/a>. berühren und auf die Schaltfläche „Anmelden“ klicken.
Es empfiehlt sich, zum Displaymanager<\/a> LightDM<\/a> zusätzlich das Program<\/a>mpaket<\/a> „slick-greeter” zu installieren und Debian<\/a> neu zu starten. Danach ist der Umgang mit dem FIDO2-Key unter LightDM<\/a> komfortabler und der Anmeldedialog sieht moderner aus.<\/p>\n\n\n\nsudo apt-get install slick-greeter<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-10.png\")
Dabei sollte jedoch beachtet werden, dass alle \/etc\/pam<\/a>.d\/common-* Datei<\/a>en auch über das Program<\/a>m pam<\/a>-auth-update<\/a> verwaltet werden können.
In `\/etc\/pam<\/a>.d\/common-auth` als erste Zeile Einfügen:<\/p>\n\n\n\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-11-1024x360.png\")
3.2 PAM unter Manjaro konfigurieren<\/strong><\/h2>\n\n\n\n
#%PAM-1.0\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-12-1024x272.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-13-1024x272.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-14-1024x300.png\")
sudo pacman -Syu lightdm-slick-greeter<\/code><\/pre>\n\n\n\n
Wie bei Debian<\/a> mit „common-auth” kann auch bei Manjaro alternativ zu den einzelnen PAM<\/a>-Datei<\/a>en eine zentrale Konfiguration<\/a>sdatei<\/a> angepasst werden. Bei Manjaro lautet diese Datei<\/a>:<\/p>\n\n\n\n\/etc\/pam.d\/system-auth<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-15-1024x272.png\")
3.3 PAM unter OpenSuse konfigurieren<\/strong><\/h2>\n\n\n\n
#%PAM-1.0\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-16.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-17.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-18.png\")
echo -e '\\r' | sudo tee -a \/etc\/fido2\/u2f_keys && pamu2fcfg -u root | sudo tee -a \/etc\/fido2\/u2f_keys<\/code><\/pre>\n\n\n\n
In der Registrierungsdatei<\/a> `\/etc\/fido2\/u2f_keys` ist danach der FIDO2-Key nicht nur für das normale Nutzerkonto (im folgenden Bildschirmfoto „adam”), sondern auch für das Konto „root<\/a>” registriert.<\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-19.png\")
PAM<\/a>-Datei<\/a> common-auth<\/strong>
Die PAM<\/a>-Datei<\/a> für die systemweite Authentifizierung lautet bei OpenSuse \/etc\/pam<\/a>.d\/common-auth.
Im Originalzustand von OpenSuse ist common-auth jedoch keine Datei<\/a>, sondern ein Link auf \/etc\/pam<\/a>.d\/common-auth-pc. Eigene Änderungen an \/etc\/pam<\/a>.d\/common-auth lan<\/a>den wegen der Verlinkung in der Datei<\/a> \/etc\/pam<\/a>.d\/common-auth-pc. Bei einem Update<\/a> wird die Datei<\/a> \/etc\/pam<\/a>.d\/common-auth-pc überschrieben, alle persönlichen Einstellungen gehen dabei verloren. Darum muss vor eigenen Anpassungen der Link gelöscht und eine eigenständige Datei<\/a> aus common-auth-pc erstellt werden.<\/p>\n\n\n\nsudo rm common-auth<\/code><\/pre>\n\n\n\nsudo cp common-auth-pc common-auth<\/code><\/pre>\n\n\n\n
Siehe auch: Configuring PAM common files manually<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-20.png\")
3.4 PAM unter Fedora konfigurieren<\/strong><\/h2>\n\n\n\n
#%PAM-1.0\nauth sufficient pam_u2f.so authfile=\/etc\/fido2\/u2f_keys cue [cue_prompt=Bitte den FIDO-Key ber\u00fchren ...]<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-21.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-22.png\")
![\"\"](\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/FIDO-23.png\")