openSUSE 12.3 Fingerabdruck für Root an einem Thinkpad einlesen und nutzen

Da ich unter Debian den Fingerabdruckscanner der Thinkpads für eigentlich jede Validierung nutze, habe ich mir das ganze mal kurz unter OpenSuSE 12.3 angeschaut. Denn den Faktor der Faulheit möchte ich auch gerne unter dieser Distribution nutzen.

Wie aktivieren ?

  1. Yast2 > Benutzer und Gruppenverwaltung
  2. Systembenutzer als Filter festlegen
  3. Den Benutzer root auswählen und den Karteikartenreiter Plug-Ins aktivieren
  4. Dort das Plugin Legen sie den Fingerabdruck des Benutzers fest starten
  5. Fingerabdruck einlesen lassen.

Für jeden normalen Benutzer geht man den gleichen weg, natürlich ohne den Filter.

Und nun ?

Ab diesem Zeitpunkt ist es nicht mehr nötig bei einem substitude user ( su ) das Passwort einzugeben. Falls der Fingerabdruck nach dreimaligen Lesen nicht übereinstimmt wird nach dem Passwort gefragt.

KDE4 Konsole OpenSuSE 12.3 Thinkpad Fingerscan su

Wer sich nun einmal die Datei /etc/pam.d/common-auth anschaut, wird sehen, dass sie da einiges gewandelt hat im Vergleich zu der vorhergehenden Datei /etc/pam.d/common-auth.pam-config-backup, welche noch als Backup vorhanden ist, einmal ein diff:

diff /etc/pam.d/common-auth /etc/pam.d/common-auth.pam-config-backup
1d0
< #%PAM-1.0
3,6c2
< # This file is autogenerated by pam-config. All changes
< # will be overwritten.
< #
< # Authentication-related modules common to all services
---
> # /etc/pam.d/common-auth - authentication settings common to all services
11c7
< # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
---
> # (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
14,17c10,11
< auth  required        pam_env.so
< auth  sufficient      pam_fprint.so
< auth  optional        pam_gnome_keyring.so
< auth  required        pam_unix.so     try_first_pass
---
> auth  required        pam_env.so
> auth  required        pam_unix.so     try_first_pass

Der Fingerprintreader ist hinzugekommen und gilt nun als erste Instanz, bevor nach dem normalen Passwort gefragt wird.

Dies gilt für die Shell

Und was ist mit KDM und Kwallet ?

Für KDM und Kwallet gibt es da ein kleines Problem.

Erstens ist unisono, dass es mit KDM nicht gehen würde, siehe dazu den Bugreport mit der Nummer 116682. Aber ich werde nach den Eingabe meines Passwortes als Benutzer doch um meinen Fingerabdruck gebeten. Komisch, ist aber so. Ich muss da nochmals nachschauen, denn ich habe mich die letzten Jahre so absolut nicht um das Login ausserhalb der Shell gekümmert, gebe ich offen zuツ
Falls mir da etwas einfällt, werde ich mich melden. Denn ich denke OTP und Fingerscanner möchte ich da schon haben. Vielleicht muss ich es mal als Administrator ausrollen, oder kann es vorschlagen, was mir doch Spaß machen würde.

Nun also kwallet bietet da so absolut überhaupt nichts an. Und wer bei Google nach kwallet und Fingerprint sucht wird mit ungefähr 239.000 Ergebnisse in 0,29 Sekunden von anno tobac bis jetzt bedacht.
Ich denke da kann man sich selbst eine Meinung bilden und sollte sie als gepflegter Programmierer an die Arbeit machen. Ich kann es leider nicht, ich bin nur ein einfacher Admin und arbeite mit den Werkzeugen, welche mir gegeben sind.
Analogie Automechaniker > Entwickler von Autos , wir verstehen uns ;)

2 Comments

  1. Moin :),

    sag mal, du schreibst ja direkt als erstes das du das Lesegerät ja auch unter Debian nutzt. Kannst du mir verraten wie man das Gerät unter Debian einrichtet, so das auch da der Fingerabdruck für das root pw genutzt werden kann?

    Die Beschreibung für openSuse ist klasse, hilft mir nur nicht richtig weiter und leider geizt DuckDuckGo mit anderen Vorschlägen für diese Thematik :(

    Ich bedanke mich im vorraus!

    1. Mein T420s hat keinen Fingerabdruckscanner mehr, den hatte mein T61.
      Und er lässt sich unter Debian sehr einfach einrichten, nomalerweise einfach nur noch unter Jessie fprint installieren und als root genau so wie als $USER vorgehen.

Schreibe einen Kommentar

You have to agree to the comment policy.