Scroll to navigation

PAM_SYSTEMD_LOADKEY(8) pam_systemd_loadkey PAM_SYSTEMD_LOADKEY(8)

BEZEICHNUNG

pam_systemd_loadkey - Ein Passwort aus dem Kernel-Schlüsselbund lesen und es als PAM-Authtok setzen

ÜBERSICHT

pam_systemd_loadkey.so

BESCHREIBUNG

pam_systemd_loadkey liest eine durch Nullbytes getrennte Passwortliste aus dem Kernel-Schlüsselbund und setzt das letzte Passwort in der Liste als das PAM-Authtok (Authentifzierungsmerkmal).

Die Passwortliste soll in dem »Benutzer«-Schlüsselbund des Root-Benutzers durch einen früheren Aufruf von systemd-ask-password(1) mit --keyname= gespeichert worden sein. Sie können den Schlüsselnamen mittels der Option keyname= an pam_systemd_loadkey übergeben.

OPTIONEN

Die folgenden Optionen werden verstanden:

keyname=

Akzeptiert ein Zeichenkettenargument, das den zu lesenden Schlüsselnamen setzt. Die Vorgabe ist »cryptsetup«. Während des Systemstarts speichert systemd-cryptsetup@.service(8) eine Passphrase oder PIN in dem Schlüsselbund. Der LUKS2-Datenträgerschlüssel kann mittels der Option link-volume-key in crypttab(5) auch verwandt werden.

Tabelle 1.  Mögliche Werte für Schlüsselnamen.

Wert Beschreibung
cryptsetup Passphrase oder Wiederherstellungsschlüssel
fido2-pin Sicherheits-Token-PIN
luks2-pin LUKS2-Token-PIN
tpm2-pin TPM2 PIN

Hinzugefügt in Version 255.

debug

Das Modul wird beim Betrieb Fehlersuchmeldungen protokollieren.

Hinzugefügt in Version 255.

BEISPIEL

Dieses Modul sollte eingesetzt werden, wenn Sie LUKS mit einer Passphrase verwenden, automatisches Anmelden in der graphischen Oberfläche aktivieren und den GNOME-Schlüsselbund/das KDE-Wallet automatisch entsperren wollen. Somit geben Sie während des Systemstarts insgesamt nur ein Passwort ein.

Sie müssen das Passwort Ihres GNOME-Schlüsselbundes/Ihrer Kwallet identisch zu der LUKS-Passphrase setzen. Dann fügen Sie die folgenden Zeilen zu der PAM-Konfiguration Ihres Display-Managers unter /etc/pam.d/ hinzu (z.B. sddm-autologin):

-auth       optional    pam_systemd_loadkey.so
-auth       optional    pam_gnome_keyring.so
-session    optional    pam_gnome_keyring.so auto_start
-session    optional    pam_kwallet5.so auto_start

Fügen Sie auch die folgenden Zeilen zu der Systemd-Dienstedatei des Display-Managers hinzu, so dass er auf den Schlüsselbund von Root zugreifen kann:

[Service]
KeyringMode=inherit

So eingerichtet wird systemd-cryptsetup@.service(8) während der frühen Systemstartphase nach der Passphrase fragen und sie im Kernel-Schlüsselbund unter dem Schlüsselnamen »cryptsetup« speichern. Wenn dann der Display-Manager das automatische Anmelden durchführt, wird pam_systemd_loadkey die Passphrase vom Kernelschlüsselbund lesen und sie als PAM-Authtok setzen. Anschließend werden pam_gnome_keyring und pam_kwallet5 mit der gleichen Passphrase entsperrt.

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

systemd 256.5