Nächste Überarbeitung | Vorhergehende Überarbeitung |
suse:nitrokey:fidou2f [03.08.2020 20:16. ] – Seite "Nitrokey FIDO U2F in der Praxis unter open SUSE leap 15.2" angelegt django | suse:nitrokey:fidou2f [22.08.2020 19:30. ] (aktuell) – [Links] django |
---|
</code> | </code> |
| |
Mit dem Befehl **''lshw''** können wir uns ebenso anzeiogen lassen,. ob der Stick angesteckt und erlkantt wird. Da der USB-Stick unter die Klasse ''input'' fällt suchen wir gezielt nach diesen Geräte-Typus. | Mit dem Befehl **''lshw''** können wir uns ebenso anzeigen lassen, ob der Stick angesteckt und erkannt wird. Da der USB-Stick unter die Klasse ''input'' fällt suchen wir gezielt nach diesen Geräte-Typus. |
| |
# lshw -short -C input | # lshw -short -C input |
| |
===== udev-Regeln ===== | ===== udev-Regeln ===== |
Für den Betrieb unter [[https://software.opensuse.org/distributions/leap|openSUSE Leap 15.2]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen und unserer Umgebung anpassen. Dies ist notwendig, da sonst die Gerätedatei nicht mit den entsprechenden Benutzer-Rechten angelegt wird! | Für den Betrieb unter [[https://software.opensuse.org/distributions/leap|openSUSE Leap 15.2]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen. |
Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. | Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. |
# cd /etc/udev/rules.d/ | # cd /etc/udev/rules.d/ |
# wget https://www.nitrokey.com/sites/default/files/41-nitrokey.rules | # wget https://www.nitrokey.com/sites/default/files/41-nitrokey.rules |
| |
Wie schon erwähnt ist es unter CentOS 7 notwendig für unseren Benutzer eine Änderung an der Berechtigung der Gerätedatei vorzunehmen. Grundsätzlich gibt es hierzu zwei Varianten: | Zum Aktivieren unserer neuen udev-Regeldatei lassen wir diese nun erneut einlesen; hierzu verwenden wir folgenden Befehl: |
- **Dateirechte** : Wir sorgen dafür dass auf die Gerätedatei ''/dev/hidraw0'' jeder lesend und schreibend zugreifen kann, in dem wir die Dateirechte auf **666** setzen, oder | |
- **Nutzerrechte** : wir sorgen dafür dass die Gerätedatei ''/dev/hidraw0'' direkt unserem Benutzer, mit dem wir uns an unserem Rechner anmelden, gehört. | |
| |
Wir entscheiden uns hier für die Option 2., wir sorgen also dafür dass die Gerätedatei unserem Nutzer - in diesem Konfigurationsbeispiel dem Benutzer **django** gehört, sobald dieser den Kryptostick in einen USB-Port steckt. | |
| |
Zunächst legen wir als erstes mal die Gruppe **plugdev** an. | |
# groupadd plugdev | |
| |
Dann setzen wir unseren Benutzer **django** in diese Gruppe **plugdev**. | |
# usermod -aG plugdev django | |
| |
Nun passen wir noch die eingangs heruntergeladene udev-Regeldatei //**/etc/udev/rules.d/41-nitrokey.rules**// an. Der entscheidende Zusatz ist nun hier die Option ''**OWNER="django"**''. | |
# vim /etc/udev/rules.d/41-nitrokey.rules | |
<file bash /etc/udev/rules.d/41-nitrokey.rules># Nitrokey U2F | |
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", OWNER="django", GROUP="plugdev", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0" | |
# Nitrokey FIDO U2F | |
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", OWNER="django", GROUP="plugdev", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4287" | |
| |
SUBSYSTEM!="usb", GOTO="gnupg_rules_end" | |
ACTION!="add", GOTO="gnupg_rules_end" | |
| |
# USB SmartCard Readers | |
## Crypto Stick 1.2 | |
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4107", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
## Nitrokey Pro | |
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
## Nitrokey Storage | |
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4109", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
## Nitrokey Start | |
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
## Nitrokey HSM | |
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4230", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| |
LABEL="gnupg_rules_end"</file> | |
| |
Zum Aktivieren unserer geänderten udev-Regeldatei lassen wir diese nun erneut einlesen; hierzu verwenden wir folgenden Befehl: | |
# udevadm control --reload-rules | # udevadm control --reload-rules |
| |
Sobald wir nun unseren Nitrokey FIDO U2F-Stick in einen USB-Port stecken wird die zugehörige Gerätedate mit den richtigen Berechtigungen angelegt. | |
# ll /dev/hidraw* | |
| |
<code>crw------- 1 root root 245, 0 Aug 3 14:13 /dev/hidraw0 | |
crw------- 1 root root 245, 1 Aug 3 14:13 /dev/hidraw1 | |
crw------- 1 root root 245, 2 Aug 3 14:13 /dev/hidraw2 | |
crw------- 1 root root 245, 3 Aug 3 14:13 /dev/hidraw3 | |
crw-rw-r--+ 1 django plugdev 245, 4 Aug 3 22:04 /dev/hidraw4</code> | |
| |
===== Browser ===== | ===== Browser ===== |
| |
====== Links ====== | ====== Links ====== |
* **[[wiki:start|Zurück zu Projekte und Themenkapitel]]** | * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** |
* **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| |
| |