Single sign-on

[vitus_wagner]

Собрался, наконец, и поставил на домашний компьютер pam-ssh. Мне понравилось. Правда, ssh-add в .fvwm2rc остался.
Следующим способом:

 exec ssh-add -l || ssh-add .ssh/id_dsa </dev/null

Соответственно, если в момент отрабатывания этой строчки pam-ssh уже ключ загрузил (и ssh-add -l возвращает 0) оно не делает ничего. А если нет - запускает ssh-askpass (для этого standard input переназначен в /dev/null. А то вдруг я зачем-то X-ы startx-ом запущу - и будет оно спрашивать пассфразу на той консоли, откуда я их запустил.

Пока несколько непривычно, что после ввода пароля от тебя уже ничего не хотят.

Правда, пакет libpam-ssh пришлось пересобирать из squeezy. Пакет из lenny почему-то ронял xdm в segfault при заходе с нелокального DISPLAY. в 1.92 это все же починили. Теперь бы еще туда же и gpg-шные ключи прикрутить....

И таки да, научить xscreensaver ключи ВЫГРУЖАТЬ. А потом при разлочке загружать обратно.

Comments

[phd_ru]

А это зачем? В смысле, это чтобы не вводить пароли где?

Я уже давно работаю так - ssh-agent startx, ssh-add (ввожу passphrase один раз), и, соответственно, потом всюду логинюсь без пароля. Компьютер не выключаю, на ночь кладу в suspend-to-disk, поэтому passphrase ввожу редко.

[vitus_wagner]

В смысле, чтобы не вводить сначала пароль, а потом ssh-пассфразу. А ввести только одну пассфразу.
От использования startx я отказался еще 10 лет назад. Именно потому что лишние 6 кнопок нажимать.

[phd_ru]

> В смысле, чтобы не вводить сначала пароль, а потом ssh-пассфразу. А ввести только одну пассфразу.

Всего-то? Мне это не поможет - у меня пароль на BIOS (я не всем гостям своих детей доверяю, например), пароли на Postgres и Mysql, и чёрт его помнит на что ещё. Тут нужен какой-то настоящий single sign-on, а примочки на login - это полпроцента проблемы.

> От использования startx я отказался еще 10 лет назад. Именно потому что лишние 6 кнопок нажимать.

Я давно заалиасил ssh-agent startx на X, и всё сократилось до полутора клавиш. А ты вообще startx не используешь, или вызываешь его из .profile? А что делаешь, если надо зайти без X?

[vitus_wagner]

Всего-то? Мне это не поможет - у меня пароль на BIOS
А ты что, компьютер выключаешь что-ли?!!!!
У меня так кнопка питания куском оргстекла заклеена, чтобы ребенок случайно не нажал.
пароли на Postgres
Может тебе сюда: http://www.postgresql.org/docs/8.4/static/auth-methods.html#AUTH-IDENT
или сюда
http://www.postgresql.org/docs/8.4/static/auth-methods.html#AUTH-CERT
C последним, конечно засада в том, что выписать себе сертификат на ssh-ключ
не проблема - секретные ключи там openssl-ные, но вот научить libpq пользоваться ssh-агентом - это отдельное веселое развлечение. Надо подгружаемый модуль к openssl написать, чтобы делегировал операции с секретным ключом агенту.
А после этого устанавливаешь переменную PGSSLKEY и оно у тебя работает прозрачно.

Заодно, можно будет этим же сертификатом у imap-сервера аутентифицироваться. Правда, в последнем нужды не возникает, если на imap-сервере у тебя есть шелл. Все вменяемые клиенты умеют preauthenticated imap, туннелированный поверх ssh.


А ты вообще startx не используешь, или вызываешь его из .profile? А что делаешь, если надо зайти без X

Конечно не использую. Использую xdm. У меня ж еще и X-терминалы есть.

Если надо зайти без X, можно переключиться на другую виртуальную консоль.

Только я не понимаю, зачем это может быть надо. Последний раз мне это было надо лет десять назад, когда у меня на ноутбуке был экран 640x480 и 20Мб памяти. Если на машине более 24Мб памяти и поддерживается хотя бы видеорежим 800x600 то нафиг это надо.

[phd_ru]

Компьютер выключаю на ночь. Слово suspend-to-disk я уже произносил.

Зайти на компьютер без Иксов мне надо, например, после смены версии ядра - приходится перекомпилировать проприетарный драйвер видео. Бывают и другие нужды - перезагрузиться, зайти, увидеть, что с ядром проблемы (у меня часто DMA отваливается), перезагрузиться в работающее, перенастроить новое ядро, перезагрузиться...

[awind.livejournal.com]

и что? если иксы не поднимутся у тебя будет та же консоль.

[taris_marh.livejournal.com]

А для чего выгружать ключи при блокировании экрана? Как я понимаю, получить доступ, не введя пароля, всё равно невозможно. Или я чего-то не учитываю.

[vitus_wagner]

Можно получить доступ с правами другого юзера, и через эту машину получить доступ к другим машинам, куда я доступ имею, а другой юзер - нет.
Если я тут, и ситуацию отслеживаю - это одно, если меня тут нет - другое.

[taris_marh.livejournal.com]

Как-то не въехал в первое предложение. Вроде как, чтобы получить доступ к другой машине, надо получить доступ к консоли, в которой был загружен ключ. Или он как-то глобально загружается? Но тогда достаточно получить удалённый доступ и скринчэйвер оказывается вообще не при делах.

[phd_ru]

Ключи, как я понимаю, загружаются глобально, в ssh-agent. В man ssh на предмет опции -A (agent forwarding) описано, чем это может быть опасно.

[vitus_wagner]

Не обязательно. Если ты получишь рута на этой машине, то ты можешь добраться до SSH_AUTH_SOCK и без доступа к консоли. Чудес не бывает.

[dottedmag.livejournal.com]

http://github.com/dottedmag/gnupg-xscreensaver - но это паллиатив, и не через PAM (так что загружать обратно при анлоке не будет).

альтернатива скринсейверу

[jdevelop.livejournal.com]

vlock -n -a ?