Sorry.

Теперь не только длина, но и само наличие пароля не обязательны. Можно удалить хэш пароля для пользователя chiko (и не только для него) из /etc/shadow, заменив его на восклицательный знак.

При желании сделать аутентификацию только по hard-ware-ключу, /etc/pam.d/login должен быть соответствующе изменен.

У меня он имеет вид:

# more /etc/pam.d/login

auth       required     /lib/security/pam_opensc.so

account    required     /lib/security/pam_stack.so service=system-auth

session    required     /lib/security/pam_stack.so service=system-auth

При попытке зарегистрироваться без наличия аппаратного ключа в USB получим:

workstation login: chiko

No smart card present

Login incorrect

Если предполагается регистрация в системе под root по # su, файл /root/.eid/authorized_certificates должен быть доступен для чтения, иначе получим ошибку:

# su

Using card reader Aladdin eToken PRO

Enter PIN1 [CHIKOPIN]:

No such user, user has no .eid directory or .eid unreadable.

Будьте осторожны при изменении файлов конфигурации PAM, если допустить ошибки конфигурирования, то есть риск появления неприятного события – мы не сможем зарегистрироваться как root, и придется загружаться с LiveCD, монтировать раздел с /etc и править конфигурационные файлы PAM. Если в ваши планы ни в коем случае не входит перезагрузка, предпочтительно сделать резервные копии файлов конфигурации PAM, и используя crontab, по расписанию в определеное время вернуть их на место. Это применимо в случае ограничения количества pid и tty для root, если же таких ограничений нет, предпочтительнее использовать заранее открытую сессию. Подробнее о работе с PAM можно узнать в страницах руководства по PAM.

Внимание! Во всех домашних каталогах пользователей, с учетными данными которых мы будем регистрироваться в системе, должен присутствовать корректный ~/.eid/authorized_certificates.

В моем примере до блокирования PIN дается три попытки его ввода. Как быть, если после третьей неудачной попытки ввести PIN мы получили предупреждение о его блокировке?

# su

Using card reader Aladdin eToken PRO

Enter PIN1 [CHIKOPIN]:

sc_pkcs15_verify_pin: Authentication method blocked

Ведь даже после ввода корректного PIN мы не увидим ничего, кроме предупреждения о том, что он заблокирован. При создании пользовательского профиля на аппаратном ключе, кроме PIN мы также указывали PUK-код, его необходимо помнить именно для такого случая. Разблокирование:

# pkcs15-tool –u

Connecting to card in reader Aladdin eToken PRO...

Using card driver: Siemens CardOS

Trying to find a PKCS#15 compatible card...

Found Chiko Test Card!

Enter PUK [CHIKOPIN]:

Enter new PIN [CHIKOPIN]: