| Nächste Überarbeitung | Vorhergehende Überarbeitung |
| suse:nitrokey:fidou2f [03.08.2020 20:16. ] – Seite "Nitrokey FIDO U2F in der Praxis unter open SUSE leap 15.2" angelegt django | suse:nitrokey:fidou2f [22.08.2020 19:30. ] (aktuell) – [Links] django |
|---|
| </code> | </code> |
| |
| Mit dem Befehl **''lshw''** können wir uns ebenso anzeiogen lassen,. ob der Stick angesteckt und erlkantt wird. Da der USB-Stick unter die Klasse ''input'' fällt suchen wir gezielt nach diesen Geräte-Typus. | Mit dem Befehl **''lshw''** können wir uns ebenso anzeigen lassen, ob der Stick angesteckt und erkannt wird. Da der USB-Stick unter die Klasse ''input'' fällt suchen wir gezielt nach diesen Geräte-Typus. |
| |
| # lshw -short -C input | # lshw -short -C input |
| |
| ===== udev-Regeln ===== | ===== udev-Regeln ===== |
| Für den Betrieb unter [[https://software.opensuse.org/distributions/leap|openSUSE Leap 15.2]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen und unserer Umgebung anpassen. Dies ist notwendig, da sonst die Gerätedatei nicht mit den entsprechenden Benutzer-Rechten angelegt wird! | Für den Betrieb unter [[https://software.opensuse.org/distributions/leap|openSUSE Leap 15.2]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen. |
| Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. | Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. |
| # cd /etc/udev/rules.d/ | # cd /etc/udev/rules.d/ |
| # wget https://www.nitrokey.com/sites/default/files/41-nitrokey.rules | # wget https://www.nitrokey.com/sites/default/files/41-nitrokey.rules |
| |
| Wie schon erwähnt ist es unter CentOS 7 notwendig für unseren Benutzer eine Änderung an der Berechtigung der Gerätedatei vorzunehmen. Grundsätzlich gibt es hierzu zwei Varianten: | Zum Aktivieren unserer neuen udev-Regeldatei lassen wir diese nun erneut einlesen; hierzu verwenden wir folgenden Befehl: |
| - **Dateirechte** : Wir sorgen dafür dass auf die Gerätedatei ''/dev/hidraw0'' jeder lesend und schreibend zugreifen kann, in dem wir die Dateirechte auf **666** setzen, oder | |
| - **Nutzerrechte** : wir sorgen dafür dass die Gerätedatei ''/dev/hidraw0'' direkt unserem Benutzer, mit dem wir uns an unserem Rechner anmelden, gehört. | |
| | |
| Wir entscheiden uns hier für die Option 2., wir sorgen also dafür dass die Gerätedatei unserem Nutzer - in diesem Konfigurationsbeispiel dem Benutzer **django** gehört, sobald dieser den Kryptostick in einen USB-Port steckt. | |
| | |
| Zunächst legen wir als erstes mal die Gruppe **plugdev** an. | |
| # groupadd plugdev | |
| | |
| Dann setzen wir unseren Benutzer **django** in diese Gruppe **plugdev**. | |
| # usermod -aG plugdev django | |
| | |
| Nun passen wir noch die eingangs heruntergeladene udev-Regeldatei //**/etc/udev/rules.d/41-nitrokey.rules**// an. Der entscheidende Zusatz ist nun hier die Option ''**OWNER="django"**''. | |
| # vim /etc/udev/rules.d/41-nitrokey.rules | |
| <file bash /etc/udev/rules.d/41-nitrokey.rules># Nitrokey U2F | |
| KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", OWNER="django", GROUP="plugdev", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0" | |
| # Nitrokey FIDO U2F | |
| KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", OWNER="django", GROUP="plugdev", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4287" | |
| | |
| SUBSYSTEM!="usb", GOTO="gnupg_rules_end" | |
| ACTION!="add", GOTO="gnupg_rules_end" | |
| | |
| # USB SmartCard Readers | |
| ## Crypto Stick 1.2 | |
| ATTR{idVendor}=="20a0", ATTR{idProduct}=="4107", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| ## Nitrokey Pro | |
| ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| ## Nitrokey Storage | |
| ATTR{idVendor}=="20a0", ATTR{idProduct}=="4109", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| ## Nitrokey Start | |
| ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| ## Nitrokey HSM | |
| ATTR{idVendor}=="20a0", ATTR{idProduct}=="4230", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess" | |
| | |
| LABEL="gnupg_rules_end"</file> | |
| | |
| Zum Aktivieren unserer geänderten udev-Regeldatei lassen wir diese nun erneut einlesen; hierzu verwenden wir folgenden Befehl: | |
| # udevadm control --reload-rules | # udevadm control --reload-rules |
| |
| Sobald wir nun unseren Nitrokey FIDO U2F-Stick in einen USB-Port stecken wird die zugehörige Gerätedate mit den richtigen Berechtigungen angelegt. | |
| # ll /dev/hidraw* | |
| |
| <code>crw------- 1 root root 245, 0 Aug 3 14:13 /dev/hidraw0 | |
| crw------- 1 root root 245, 1 Aug 3 14:13 /dev/hidraw1 | |
| crw------- 1 root root 245, 2 Aug 3 14:13 /dev/hidraw2 | |
| crw------- 1 root root 245, 3 Aug 3 14:13 /dev/hidraw3 | |
| crw-rw-r--+ 1 django plugdev 245, 4 Aug 3 22:04 /dev/hidraw4</code> | |
| |
| ===== Browser ===== | ===== Browser ===== |
| |
| ====== Links ====== | ====== Links ====== |
| * **[[wiki:start|Zurück zu Projekte und Themenkapitel]]** | * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** |
| * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| |
| |
django