https://www.linux.fi/w/api.php?action=feedcontributions&user=Tuju&feedformat=atomLinux.fi - Käyttäjän muokkaukset [fi]2024-03-29T10:56:04ZKäyttäjän muokkauksetMediaWiki 1.41.0https://www.linux.fi/w/index.php?title=HST&diff=58007HST2024-03-13T15:15:44Z<p>Tuju: /* Aiheesta muualla */</p>
<hr />
<div>Väestörekisterikeskus tarjoaa Suomessa '''henkilön sähköisen tunnistamisen''' (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.<br />
<br />
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.<br />
<br />
== Peruskäyttäjän tehtävälista ==<br />
<br />
Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:<br />
<br />
# Hanki henkilökortti. Sitä voi anoa<br />
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.<br />
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.<br />
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.<br />
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).<br />
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).<br />
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.<br />
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].<br />
<br />
'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi &ndash; oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.<br />
<br />
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä. '''Huom!''' Henkilökorttilaki muuttui 1.1.2017. Samassa yhteydessä luovuttiin sairausvakuutustietojen merkitsemisestä henkilökorttiin.<br />
<br />
== Laitteet ==<br />
<br />
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.<br />
<br />
<div style="margin-left: auto; margin-right: auto;"><br />
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]<br />
</div><br />
<br />
Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.<br />
<br />
<br />
==== Nykyaikaiset lukijat ==== <br />
<br />
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Chip Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. <br />
<br />
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:<br />
<br />
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).<br />
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]<br />
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat<br />
<br />
<br />
==== Vanhemmat lukijat ==== <br />
<br />
Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.<br />
<br />
Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.<br />
<br />
* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.<br />
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.<br />
<br />
<br />
Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.<br />
<br />
=== Towitoko ChipDrive ===<br />
<br />
[[Tiedosto:Towitoko.chipdrive.JPG]]<br />
<br />
Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.<br />
<br />
'''openct''':<br />
<br />
Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:<br />
#reader towitoko {<br />
# driver = towitoko;<br />
# device = serial:/dev/ttyS0;<br />
#};<br />
<br />
Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.<br />
<br />
'''pcscd''':<br />
<br />
?<br />
<br />
== Ohjelmistot ==<br />
<br />
=== Arkkitehtuuri ===<br />
<br />
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.<br />
<br />
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''. <br />
<br />
'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.<br />
<br />
'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.<br />
<br />
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:<br />
<br />
<br />
[[Tiedosto:openct.png]] &nbsp;&nbsp;&nbsp;&nbsp; [[Tiedosto:pcsc-lite.png]]<br />
<br />
<br />
===Ajurit ja middleware===<br />
<br />
Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:<br />
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot<br />
* Kaupallinen ''mPollux Digisign Client''<br />
<br />
====OpenSC====<br />
<br />
Vapaana ohjelmistona kehitetty [https://github.com/OpenSC/OpenSC/wiki OpenSC] on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä <br />
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.<br />
<br />
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.<br />
<br />
OpenSC on yhteensopiva lähes kaikkien älykorttien kanssa. 2018 alusta myönnettyihin HST-kortteihin on saatavilla testivaiheessa oleva kirjoitettu ohjelmistotuki OpenSC kirjastoon.<br />
<br />
[https://github.com/OpenSC/OpenSC/pull/1608 FINeID: Initial FINeID v3 support #1608]<br />
<br />
==== mPollux Digisign Client ====<br />
<br />
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://dvv.fi/linux-versiot mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto CentOSille ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.<br />
<br />
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.<br />
<br />
mPollux ohjelma ei toimi kunnolla. Tietokonetta voi joutua käynnistämään uudestaan ja sovelukset voivat jumittua ( 2018 - 2019 Ubuntu 18.04 )<br />
<br />
===Sovellusohjelmien tuki===<br />
<br />
Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.<br />
<br />
==== Firefox ====<br />
<br />
Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.<br />
<br />
Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.<br />
<br />
==== Opera ====<br />
<br />
Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.<br />
<br />
==== PAM ====<br />
<br />
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.<br />
<br />
==== SSH ====<br />
<br />
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.<br />
<br />
ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.<br />
<br />
Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.<br />
<br />
==== OpenOffice.org ====<br />
<br />
Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.<br />
<br />
==== qDigiDoc ====<br />
<br />
Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.<br />
<br />
==== Lähiverkon pääsynvalvonta - 802.1x ====<br />
<br />
IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin. <br />
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.<br />
<br />
<br />
==== Gnupg ohjelmat ====<br />
<br />
Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:<br />
<br />
* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)<br />
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.<br />
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.<br />
<br />
Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.<br />
<br />
==== KDE ja PKCS#11 ====<br />
<br />
KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.<br />
<br />
Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.<br />
<br />
Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.<br />
<br />
<br />
<br />
OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.<br />
<br />
=== Apuohjelmat ===<br />
<br />
Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.<br />
<br />
==== Korttipaikkojen listaus ====<br />
$ pkcs11-tool -L<br />
Slot 8 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (perustunnusluku)<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
Slot 9 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (allekirjoitustunn<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
<br />
<br />
==== Varmenteiden listaus ====<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 00 00<br />
X.509 Certificate [todentamis- ja salausvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f004331<br />
ID : 45<br />
<br />
X.509 Certificate [allekirjoitusvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f0050164332<br />
ID : 46<br />
<br />
X.509 Certificate [VRK Gov. Root CA]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004334<br />
ID : 48<br />
<br />
X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004333<br />
ID : 47<br />
<br />
==== PIN koodin vaihto ====<br />
<br />
==== PUK koodin käyttö ====<br />
<br />
PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.<br />
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1<br />
Using reader with a card: OmniKey CardMan 1021 01 00<br />
Enter new PIN [PIN1]: ****<br />
Enter new PIN again [PIN1]: ****<br />
<br />
==== CA-varmenteiden lukeminen kortilta ====<br />
<br />
Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.<br />
<br />
Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:<br />
<br />
$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem<br />
<br />
Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.<br />
<br />
==== Yhteiskäyttö ja Opensc <= 0.11 ====<br />
<br />
Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.<br />
<br />
# By default, the OpenSC PKCS#11 module will lock your card<br />
# once you authenticate to the card via C_Login.<br />
# This is to prevent other users or other applications<br />
# from connecting to the card and perform crypto operations<br />
# (which may be possible because you have already authenticated<br />
# with the card).<br />
<br />
# Thus it is impossible to use several smart card aware<br />
# applications at the same time, e.g. you cannot run both<br />
# Firefox and Thunderbird at the same time, if both are<br />
# configured to use your smart card.<br />
#<br />
# Default: true<br />
lock_login = false;<br />
<br />
Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.<br />
<br />
<br />
==== Sovellusten jumiutumiset ====<br />
<br />
Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.<br />
<br />
Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:<br />
<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 01 00<br />
X.509 Certificate...<br />
<br />
Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.<br />
<br />
Joskus koko korttiin ei saada yhteyttä:<br />
<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 1021 00 00<br />
Failed to connect to card: Unknown error<br />
<br />
Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:<br />
<br />
# service pcscd restart<br />
Redirecting to /bin/systemctl restart pcscd.service<br />
<br />
Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.<br />
<br />
== Sovelluskohtaisia ohjeita ==<br />
<br />
Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.<br />
<br />
Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').<br />
<br />
<br />
=== Firefox ===<br />
<br />
Firefoxin varmennekortti-tuen tehtävälista:<br />
<br />
# Juurivarmenteen asentaminen (pakollinen)<br />
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)<br />
# Allekirjoitus-pluginin asentaminen<br />
<br />
==== Juurivarmenteen asentaminen ====<br />
<br />
Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.<br />
<br />
Valise kaikki:<br />
* ''Trust this CA to identify web sites''<br />
* ''Trust this CA to identify email users''<br />
* ''Trust this CA to identify software developers''<br />
<br />
Paina ''Ok''<br />
<br />
==== Korttituen lisääminen ====<br />
<br />
Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.<br />
<br />
Suomenkielisessä selaimessa:<br />
<br />
*valitse ''Muokkaa'' &rarr;'' Asetukset'' &rarr;'' Lisäasetukset'' &rarr; ''Salaus'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
Englanninkielisessä selaimessa:<br />
<br />
*valitse ''Edit'' &rarr; ''Preferences'' &rarr; ''Advanced'' &rarr; ''Encryption'' &rarr; ''Security Devices''<br />
*paina ''Load''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
<br />
==== pin2-koodin turha kysely ja onepin tausta ====<br />
<br />
Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].<br />
<br />
==== Error code: ssl_error_renegotiation_not_allowed ====<br />
<br />
Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.<br />
<br />
Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille &ndash; VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.<br />
<br />
<br />
===Thunderbird===<br />
<br />
*valitse ''Muokkaa'' &rarr; ''Asetukset'' &rarr; ''Lisäasetukset'' &rarr; ''Varmenteet'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt><br />
*edelleen lisäasetuksista valitse ''Näytä varmenteet''<br />
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''<br />
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"<br />
*valitse ''Muokkaa'' &rarr; ''Tilien asetukset''<br />
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne<br />
<br />
Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.<br />
<br />
=== qDigiDoc ===<br />
<br />
Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.<br />
<br />
=== Ssh ===<br />
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.<br />
<br />
'''Käyttö''':<br />
* Aseta kortti lukijaan ja lisää plugin:<br />
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code><br />
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:<br />
$ ssh-add -L<br />
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so<br />
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.<br />
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.<br />
<br />
<br />
'''Vianmääritys''':<br />
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.<br />
<br />
=== Lähiverkon pääsynvalvonta - 802.1x ===<br />
<br />
Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.<br />
<br />
pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so<br />
<br />
# Example of EAP-TLS with smartcard (openssl engine)<br />
network={<br />
ssid="example.com"<br />
key_mgmt=WPA-EAP<br />
eap=TLS<br />
proto=RSN<br />
pairwise=CCMP TKIP<br />
group=CCMP TKIP<br />
identity="user@example.com"<br />
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"<br />
client_cert="/etc/pki/tls/certs/user.pem"<br />
<br />
engine=1<br />
<br />
# use the opensc engine<br />
#engine_id="opensc"<br />
#key_id="45"<br />
<br />
# use the pkcs11 engine<br />
engine_id="pkcs11"<br />
key_id="id_45"<br />
<br />
# Optional PIN configuration; this can be left out and PIN will be<br />
# asked through the control interface<br />
# pin="1234"<br />
}<br />
<br />
Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].<br />
<br />
=== Gnupg ohjelmistot ===<br />
<br />
Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:<br />
<br />
scdaemon-program /usr/bin/gnupg-pkcs11-scd<br />
pinentry-program /usr/bin/pinentry-qt<br />
<br />
ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:<br />
<br />
$ gpg2 -K<br />
<br />
listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.<br />
<br />
=== Kleopatra ===<br />
<br />
Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.<br />
<br />
== Jakelukohtaisia ohjeita ==<br />
<br />
{| class="wikitable" style="text-align:center" <br />
|+ominaisuusvertailu<br />
|-<br />
! ominaisuus / jakelu<br />
! Arch Linux<br />
! Fedora<br />
! Gentoo<br />
! OpenSuse<br />
! RHEL<br />
! Ubuntu<br />
|-<br />
| Kyseinen jakeluversio || || 14 || || || 5 || 18.04<br />
|-<br />
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||<br />
|-<br />
| OpenSC versio || 0.16.0-5 || 0.22 || || || || 0.17.0-3 ||<br />
|-<br />
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||<br />
|-<br />
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||<br />
|-<br />
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||<br />
|- <br />
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||<br />
|-<br />
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||<br />
|-<br />
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||<br />
|-<br />
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||<br />
|-<br />
| Tuki 2018 ennen myönnetyille korteille || kyllä || kyllä || kyllä || || kyllä || kyllä ||<br />
|-<br />
| Tuki 2018 jälkeen myönnetyille korteille || || || || || || ei ||<br />
|-<br />
|}<br />
<br />
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.<br />
<br />
===Arch Linux===<br />
<br />
* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''<br />
* Muuta palvelu pcscd automaattisesti käynnistyväksi:<br />
sudo systemctl enable pcsc<br />
* Käynnistä palvelu pcscd:<br />
systemctl start pcscd<br />
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code><br />
<br />
=== CentOS ===<br />
<br />
Fedoran ohjeet pitäisi käydä sellaisenaan.<br />
<br />
=== Fedora ===<br />
<br />
* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.<br />
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').<br />
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.<br />
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.<br />
* CA-avaimien paketti: '''ca-certificates'''<br />
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]<br />
* ssh-agent käynnistyy automaattisesti jos on asennettu.<br />
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code><br />
<br />
=== Gentoo ===<br />
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh<br />
<br />
=== OpenSuse ===<br />
<br />
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]<br />
* Asenna paketit opensc ja pcsc-lite<br />
<br />
=== RHEL (Red Hat Enterprise Linux) ===<br />
<br />
Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.<br />
<br />
Nyt voit jatkaa Fedoran ohjeilla.<br />
<br />
===Ubuntu===<br />
<br />
* Asenna paketit <tt>opensc</tt> ja <tt>pcscd</tt><br />
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]<br />
* Firefox Asteukset / Yksityisyys ja Turvallisuus / Sertifikaatit / Turvallisuus laitteet , jos<br />
PKSC11# mooduli puuttuu lisää, load /usr/lib/x86_64-linux-gnu/onepin-opensc-pkcs11.so<br />
<br />
* versio 18.04 ja VRK:n 2018 jälkeen myönnetyt kortit eivät toimi kunnolla millään ohjelmistolla (mPollux kaatuilee)<br />
* 2018 jälkeen myönnetyille korteille ei ole tukea OpenSC:llä<br />
<br />
== Katso myös ==<br />
<br />
* [[Mobiilivarmenne]]<br />
* [[Apache httpd]]<br />
* [[Firefox]]<br />
* [[Gnupg]] - GNU Privacy Guard<br />
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.<br />
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto<br />
* [[qDigiDoc]]<br />
* [[PAM]] - Pluggable Authentication Modules<br />
* [[SSH]] - Secure SHell<br />
* [[Thunderbird]]<br />
* [[VPN]] - Virtual Private Network<br />
* [[Wpa supplicant]]<br />
<br />
== Aiheesta muualla ==<br />
* [https://digisaatio.fi/wiki/Linux digisaatio.fi/Linux]<br />
* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.<br />
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus<br />
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.<br />
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.<br />
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.<br />
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.<br />
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.<br />
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.<br />
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.<br />
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).<br />
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.<br />
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]<br />
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.<br />
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.<br />
* [https://github.com/OpenSC/OpenSC/pull/1608 https://github.com/OpenSC/OpenSC/pull/1608] - Kehitysvaiheessa oleva tuki vuodesta 2018 eteenpäin myönnetyille HST-korteille<br />
* [https://makarainen.net/Henkilovarmenne-kortinlukijaohjelmiston-asentaminen-Ubuntussa https://makarainen.net/Henkilovarmenne-kortinlukijaohjelmiston-asentaminen-Ubuntussa] - Kansalaisvarmenteen vaatima kortinlukijaohjelmiston asentaminen Ubuntussa<br />
<br />
[[Luokka:Laitteisto]]<br />
[[Luokka:Ohjeet]]<br />
[[Luokka:Tietoturva]]<br />
[[Luokka:Suomi]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Seyon&diff=57968Seyon2023-09-22T16:01:33Z<p>Tuju: </p>
<hr />
<div>'''Seyon''' oli suosittu graafinen pääteemulaattori modeemin kanssa käytettäväksi merkkipohjaisen [[Minicom]] ohjelman lisäksi. Seyon oli ohjelmoitu X11 libXt (''X Toolkit Intrinsics'') kirjastoa käyttäen koska siihen aikaan varsinaisia työpöytäympäristöjä ei ollut vielä olemassa. Ohjelmaa käytettiin joko [[Twm]] tai [[Fvwm]] ikkunamanagerin kanssa. Seyonissa oli hallintaikkuna painikkeineen ja tilariveineen ja itse yhteyden pääte-ikkuna.<br />
<br />
Ohjelman ominaisuuksia oli mm vastapään osoitekirja, DEC VT102, Tektronix 4014, ja ANSI emulaatiot ja automaattinen [[zmodem]] tiedostonlatauksen aloitus.<br />
<br />
Seyonin oli kehittänyt '''Muhammad M. Saggaf''' jonka debuggaamisesta kurttuinen naamakuva löytyi ohjelman About-tiedoista.<br />
<br />
<br />
== Aiheesta muualla ==<br />
* [https://www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README]</div>Tujuhttps://www.linux.fi/w/index.php?title=K%C3%A4ytt%C3%A4j%C3%A4:Tuju&diff=57967Käyttäjä:Tuju2023-09-22T11:15:51Z<p>Tuju: mroos on poistunut keskuudestamme. RIP. :(</p>
<hr />
<div>Fedora-leirin säätäjä. <br />
<br />
Olen lopettanut aktiivisen osallistumisen tässä wikissä, koska olen monen nykyisen muokkaajan kanssa jyrkästi eri mieltä tehdyistä muutoksista ja tyylistä miten tätä wikiä tehdään (tämä ei tarkoita, ettenkö jotain pientä tekisi jos hyöty siitä ylittää perseilyn sietämisen). Eli pitäkää tunkkinne.<br />
<br />
== Jakeluhistoria ==<br />
<br />
* SLS<br />
* Slackware<br />
* RHL<br />
* Fedora, RHEL<br />
* Fedora, CentOS. <br />
<br />
On myös tullu kokeiltua Debiania, Gentoota ja erinäisiä afrikkalaisia jakeluita "riittävästi". Työn puolesta SunOS:n, DEC UNIX:n, Solariksen, HP-UX:n, IRIX:n, BSD:n ropailua.<br />
<br />
== Suosittelen ==<br />
<br />
Kyläile Tarton [http://arvutimuuseum.ut.ee/ arvutimuuseum.ut.ee] (tietokonemuseo) sivuilla, sieltä löytyy mielenkiintoisia UNIX-laitteita.<br />
<br />
Jos tunnistat [http://arvutimuuseum.ut.ee/index.php?m=taiendamine vironkieliseltä listalta] käytöstä poistettuja laitteita ja pystyisit junailemaan niiden lahjoittamisen museolle, ne otetaan kiitollisena vastaan. Yhteystiedot löytyvät museon sivuilta.</div>Tujuhttps://www.linux.fi/w/index.php?title=Seyon&diff=57966Seyon2023-09-22T11:11:54Z<p>Tuju: </p>
<hr />
<div>'''Seyon''' oli suosittu graafinen pääteemulaattori modeemin kanssa käytettäväksi merkkipohjaisen [[Minicom]] ohjelman lisäksi. Seyon oli ohjelmoitu X11 xlib kirjastoa käyttäen koska siihen aikaan varsinaisia työpöytäympäristöjä ei ollut vielä olemassa. Ohjelmaa käytettiin joko [[Twm]] tai [[Fvwm]] ikkunamanagerin kanssa. Seyonissa oli hallintaikkuna painikkeineen ja tilariveineen ja itse yhteyden pääte-ikkuna.<br />
<br />
Ohjelman ominaisuuksia oli mm vastapään osoitekirja, DEC VT102, Tektronix 4014, ja ANSI emulaatiot ja automaattinen [[zmodem]] tiedostonlatauksen aloitus.<br />
<br />
Seyonin oli kehittänyt '''Muhammad M. Saggaf''' jonka debuggaamisesta kurttuinen naamakuva löytyi ohjelman About-tiedoista.<br />
<br />
<br />
== Aiheesta muualla ==<br />
* [https://www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README]</div>Tujuhttps://www.linux.fi/w/index.php?title=Seyon&diff=57965Seyon2023-09-22T11:09:40Z<p>Tuju: </p>
<hr />
<div>'''Seyon''' oli suosittu graafinen pääteemulaattori modeemin kanssa käytettäväksi merkkipohjaisen [[Minicom]] ohjelman lisäksi. Seyon oli ohjelmoitu X11 xlib kirjastoa käyttäen koska siihen aikaan varsinaisia työpöytäympäristöjä ei ollut vielä olemassa. Ohjelmaa käytettiin joko [[Twm]] tai [[Fvwm]] ikkunamanagerin kanssa. Seyonissa oli hallintaikkuna painikkeineen ja tilariveineen ja itse yhteyden pääte-ikkuna.<br />
<br />
Ohjelman ominaisuuksia oli mm vastapään osoitekirja, DEC VT102, Tektronix 4014, ja ANSI emulaatiot ja automaattinen [[zmodem]] tiedostonlatauksen aloitus.<br />
<br />
== Aiheesta muualla ==<br />
* [https://www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README]</div>Tujuhttps://www.linux.fi/w/index.php?title=Seyon&diff=57964Seyon2023-09-22T11:09:08Z<p>Tuju: Ak: Uusi sivu: '''Seyon''' oli suosittu graafinen pääteemulaattori modeemin kanssa käytettäväksi merkkipohjaisen Minicom ohjelman lisäksi. Seyon oli ohjelmoitu X11 xlib kirjastoa käyttäen koska siihen aikaan varsinaisia työpöytäympäristöjä ei ollut vielä olemassa. Ohjelmaa käytettiin joko Twm tai Fvwm ikkunamanagerin kanssa. Seyonissa oli hallinta-ikkuna painikkeineen ja tilariveineen ja itse yhteyden pääte-ikkuna. Ohjelman ominaisuuksia oli mm vastapään oso...</p>
<hr />
<div>'''Seyon''' oli suosittu graafinen pääteemulaattori modeemin kanssa käytettäväksi merkkipohjaisen [[Minicom]] ohjelman lisäksi. Seyon oli ohjelmoitu X11 xlib kirjastoa käyttäen koska siihen aikaan varsinaisia työpöytäympäristöjä ei ollut vielä olemassa. Ohjelmaa käytettiin joko [[Twm]] tai [[Fvwm]] ikkunamanagerin kanssa. Seyonissa oli hallinta-ikkuna painikkeineen ja tilariveineen ja itse yhteyden pääte-ikkuna.<br />
<br />
Ohjelman ominaisuuksia oli mm vastapään osoitekirja, DEC VT102, Tektronix 4014, ja ANSI emulaatiot ja automaattinen [[zmodem]] tiedostonlatauksen aloitus.<br />
<br />
== Aiheesta muualla ==<br />
* [https://www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README www.funet.fi/pub/Linux/util/communications/Seyon/Seyon.README]</div>Tujuhttps://www.linux.fi/w/index.php?title=Apache_HTTPD&diff=57924Apache HTTPD2023-08-23T10:23:42Z<p>Tuju: /* Sähköisen henkilökortin tuki */</p>
<hr />
<div>{{Ohjelma <br />
| nimi=Apache httpd<br />
| kuva=[[Kuva:Apache_httpd_logo.png|200px]] <br />
| kuvateksti=<br />
| lisenssi=[[Apache-lisenssi]] <br />
| käyttöliittymä=www <br />
| kotisivu=[https://httpd.apache.org/ httpd.apache.org]}}<br />
<br />
'''Apache HTTPD''' on [[Apache Software Foundation|Apache-säätiön]] tuottama http-palvelin, joka juuri ja juuri hallitsee http-palvelinmarkkinoita 36.3% markkinaosuudellaan.<br />
<br />
==Asennus==<br />
{{asenna|Apache|apache2 tai httpd}}<br />
<br />
'''Debian'''-pohjaisissa jakeluissa, kuten '''Ubuntussa''', paketin nimi on ''apache2''. '''Red Hat''' -pohjaisissa jakeluissa, kuten '''CentOSissa''', paketin nimi on puolestaan ''httpd''. Sama nimeämiskäytäntö jatkuu binäärien nimissä ja tiedostopoluissa. Tässä ohjeessa pyritään huomioimaan nimen eri versiot koko ajan.<br />
<br />
== Palvelinprosessin käynnistäminen ja hallinta ==<br />
Näissä ohjeissa Apachea hallitaan käyttäen [[systemd|systemd-järjestelmää]]. Systemd on käytössä useimmissa suosituissa Linux-jakeluissa. Varsinkin internetistä etsimällä löytää muitakin ohjeita prosessien hallitsemiseksi. Apachella on oma apachectl-skriptinsä, jota voi niin ikään käyttää.<br />
<br />
Mikäli Apache ei ole käynnissä, käynnistäminen tapahtuu komennolla<br />
sudo systemctl start <palvelinprosessi><br />
Koska Apache on eri jakeluissa eri nimellä, ylläolevassa pitää korvata ''<palvelinprosessi>'' kunkin Linux-jakelun omalla nimityksellä.<br />
Esimerkiksi Ubuntu- ja Debian-palvelimissa Apache-prosessin nimi on '''apache2''' ja käynnistys tapahtuu näin:<br />
sudo systemctl start apache<br />
Red Hat- ja CentOS-palvelimissa Apache löytyy nimellä '''httpd'''<br />
sudo systemctl start httpd<br />
<br />
Pysäytys<br />
sudo systemctl stop <palvelinprosessi> <br />
<br />
Apachen uudelleen käynnistäminen tapahtuu komennolla<br />
sudo systemctl restart <palvelinprosessi> <br />
<br />
Jos Apache halutaan käynnistää automaattisesti palvelimen uudelleenkäynnistyksen jälkeen, se tapahtuu komennolla<br />
sudo systemctl enable <palvelinprosessi><br />
<br />
== Document root ==<br />
Oletuksena Apache tarkkailee tiettyä kansiota, jota se pitää palvelimen juurena. Tuohon kansioon sijoitetut HTML-tiedostot palvelin näyttää selaimella vierailtaessa.<br />
Usein document root on polussa<br />
/var/www/html<br />
Tämä kannattaa tarkistaa Apachen asetuksista. Asetustiedostossa on DocumentRoot -niminen direktiivi, joka asettaa oletussijainnin.<br />
<br />
== Web-sivujen katseleminen ==<br />
Kun Apache on käynnissä, voi verkkoselaimella vierailla palvelimen IP-osoitteessa. Mikäli olet asentanut Apachen omalle pöytäkoneellesi, voit käyttää [[loopback]]-osoitetta '''127.0.0.1'''. Kirjoita osoite verkkoselaimen osoiteriville, jolloin Apache näyttää verkkosivuston.<br />
<br />
== Apachen asetukset ==<br />
Apachen asetukset löytyvät /etc-kansion alta apachen omasta kansiosta. Sen nimi vaihtelee Linux-jakeluittain.<br />
Ubuntussa ja Debianissa asetukset on tallennettu polkuun<br />
/etc/apache2/<br />
Red Hatissa ja CentOS -palvelimissa asetukset löytyvät polusta<br />
/etc/httpd/<br />
<br />
Kansion alla on laajempi alikansiorakenne, joka näyttää tämän tapaiselta:<br />
* conf<br />
** httpd.conf<br />
** magic<br />
* conf.d<br />
** autoindex.conf<br />
** README<br />
** userdir.conf<br />
* conf.modules.d<br />
** 00-base.conf<br />
** 00-ssl.conf<br />
** 01-cgi.conf<br />
<br />
Oheinen listaus on CentOS-palvelimelta. Linux-jakelusta ja Apache-konfiguraatiosta riippuen se voi näyttää erilaiselta.<br />
<br />
<br />
Palvelimen pääkonfiguraatiotiedosto on '''httpd.conf''' tai '''apache2.conf''' jakelusta riippuen. Palvelimeen tutustumisen voi aloittaa lukemalla sen.<br />
<br />
Monesti kuitenkin Apache konfiguroidaan useaan eri tiedostoon. conf.d -kansiossa voi olla jokaiselle palvelimen tarjoamalle web-sivustolle oma konfiguraatiotiedostonsa. Apache lukee nämä tiedostot osaksi konfiguraatiotaan siten, kuin ''httpd.conf''-tiedostossa on määrätty.<br />
<br />
Apache lukee konfiguraatiotiedostot aakkosjärjestyksessä. Tiedostonimien alkuun voi laittaa järjestysnumerot oikean järjestyksen takaamiseksi, kuten tässäkin esimerkissä on tehty.<br />
<br />
Edellä mainittiin, että konfiguraatiotiedostojen hakemistorakenne voi vaihdella. Debian- ja Ubuntu-palvelimella kansiorakenne on hieman erilainen. Siellä konfiguraatiokansiosta löytyy alikansiot ''sites-available'' ja ''sites-enabled''. Sites-available -kansioon tallennetaan web-sivustojen konfiguraatiot, ja ne kytketään käyttöön tekemällä [[symbolinen linkki]] sites-enabled -kansioon.<br />
<br />
== Moduulit ==<br />
Apache-palvelimen toimintaa voi muunnella lataamalla käyttöön erilaisia moduuleja. Näitä on paljon eri tarkoituksiin, eikä tässä ole mahdollista käydä asiaa tarkemmin läpi. Usein käytettyjä moduuleja ovat esimerkiksi ''mod_rewrite'', ''mod_userdir'' ja ''mod_ssl''.<br />
<br />
conf.modules.d -kansiossa asetetaan, mitkä moduulit on otettu käyttöön. Se tehdään lisäämällä jokaiselle moduulille oma konfiguraatiotiedostonsa.<br />
<br />
Debian-pohjaiset järjestelmät jakavat moduulit kahteen kansioon. Toinen on ''mods-available'' ja ''toinen mods-enabled''. Moduulit asennetaan mods-available -kansioon, ja [[ln|linkitetään]] sieltä mods-enabled -kansioon. Debian-pohjaisissa jakeluissa tämä tehdään kahdella eri komennolla: ''a2enmod'' ja ''a2dismod''.<br />
<br />
== Apachen lokit ==<br />
<br />
Apachen lokitiedostot löytyvät /var/log -kansiosta saman logiikan mukaan kuin konfiguraatiotiedostotkin:<br />
Debian-pohjaisissa jakeluissa polku on <br />
/var/log/apache2<br />
Red Hat -pohjaisissa jakeluissa<br />
/var/log/httpd<br />
<br />
Lokeja on kaksi erilaista: <br />
* access.log<br />
* error.log<br />
<br />
== Henkilökortin tuki ==<br />
<br />
=== Yleiset palvelimen asetukset ===<br />
<br />
Palvelimella tulee olla CA-varmentajan varmenteet paikallisesti. Ne voi ladata Väestörekisterikeskuksen [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 varmennesivulta], joskin turvallisempaa on käyttää henkilökortilta [[HST#CA-varmenteiden_lukeminen_kortilta]] otettua kopiota. Yleisin tarvittava varmenne on ''juurivarmenne'' tai ''Valtion kansalaisvarmenteet''.<br />
<br />
SSLCACertificateFile /etc/pki/vrkrootca.pem<br />
SSLVerifyClient none<br />
<br />
Huomioi, että tiedoston alussa on oltava<br />
-----BEGIN CERTIFICATE-----<br />
<br />
=== .htaccess tiedosto ===<br />
<br />
Apache-palvelimen asetuksia voi muuttaa kansiokohtaisesti erityisen .htaccess-piilotiedoston avulla. Tällä voidaan ottaa käyttöön Apachen moduuleita, ja rajoittaa tai lisätä oikeuksia.<br />
<br />
Tunnistettavan URLin hakemistossa ''.htaccess'' tiedoston sisältö:<br />
<br />
SSLVerifyClient require<br />
SSLVerifyDepth 10 <br />
SSLOptions +StdEnvVars +ExportCertData<br />
<br />
=== Ympäristömuuttujat ===<br />
<br />
Tunnistetun SSL-yhteyden aikana seuraavat ympäristömuuttjat:<br />
<br />
==Katso myös==<br />
*[[nginx]]<br />
*[[Apache HTTPD:n asetukset]]<br />
*[[Apache ja HTTPS]]<br />
*[[Apache-harjoituksia]]<br />
*[[HST]]<br />
*[[LAMP]]<br />
*[[:Luokka:Apache|Apache-luokka]]<br />
<br />
==Aiheesta muualla==<br />
*[https://w3techs.com/technologies/details/ws-apache W3Techsin katsaus Apachen käyttöosuuksiin]<br />
<br />
[[Luokka:Verkko]]<br />
[[Luokka:Apache]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Apple&diff=50599Apple2020-10-28T11:06:03Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Apple Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1. huhtikuuta 1976<br />
| toimiala=Elektroniikkateollisuus ja tietotekniikka<br />
| alkuperämaa=Cupertino, Kalifornia<br />
| kotipaikka=Cupertino, Kalifornia, Yhdysvallat<br />
| kotisivu=[https://www.apple.com/ www.apple.com]<br />
| avoinkoodi=[https://opensource.apple.com/ opensource.apple.com]<br />
}}<br />
[[Tiedosto:Iphonelinux-stack-2011.png|right|thumb|Applen laitteiden protokollapino.]]<br />
<br />
'''Apple''' <br />
<br />
== iOS-laitteet ==<br />
iOS-käyttöjärjestelmää käyttäviä laitteita on pystynyt hiplaamaan Linuxista käsin, joskin viimeiset uudet versiot ovat rikkoneet yhteensopivuuden.<br />
<br />
Kytkettäessä iOS-pohjainen laite USB:llä Linux työasemaan, gVFS/AFC-pohjaiset tiedostojärjestelmät liittävät (yrittävät) laitteen tallennusmuistin työaseman hakemistojärjestelmään /run/usr/<uid>/ alle. Tämä hakemisto pitäisi näkyä KDE:n Dolphin ja Gnomen Nautilus tiedostonhallintatyökaluissa, jos kaikki toimivat kuten pitäisi.<br />
<br />
Liitoksen tiedostojärjestelmään voi tehdä myös käsin [[FUSE]]-työkaluilla ja käyttää tiedostonhallintatyökaluja sen jälkeen. iOS tallentaa kuvien pienemmät katseluversiot ja ikonit erikseen, sekä ylläpitää SQL-lite tietokantaa kuvien metatiedoista. Niiden poistaminen ja päivittäminen ei käynnisty(?) automaattisesti uudelleen jos kuvat on siirretty pois laitteesta.<br />
<br />
==Katso myös==<br />
* [[mkLinux]]<br />
* [[OS X]]<br />
* [[CUPS]]<br />
* [[Applen näppäimistö]]<br />
* [[Nautilus]] jossa on tuki IOS käyttöjärjestelmän (puhelimet ja tabletit) tiedostonsiirtoon<br />
* [[gphoto]] on kameroiden työkalu joka siirtää tiedostoja iOS-laitteista, jos se sattuu toimimaan.<br />
* [[FUSE]] on [https://en.wikipedia.org/wiki/Filesystem_in_Userspace käyttäjätilan tiedostojärjestelmä] jonka komentulkissa toimivat työkalut tuntuvat toimivan luotettavammin kuin graafiset vastaavat.<br />
* [[Filelight]] työkalua voi käyttää visualisointiin jos ei ole selvää mihin mobiililaitteen tallennustila on kulunut.<br />
<br />
== Aiheesta muualla ==<br />
* [http://apple.com apple.com]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=50598FUSE2020-10-28T10:59:38Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
'''iOS''' on [[Apple]]n mobiilikäyttöjärjestelmä jota käytetään iPhone ja iPad laitteissa.<br />
<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Udid tunnusta ei välttämättä tarvitse, ilmeisesti jos kytkettynä on ainoastaan yksi laite.<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
Irroittaminen saattaa epäonnistua jos jokin vielä käyttää tiedostojärjestelmää, fuser komennolla näkyy sen käyttäjät:<br />
fusermount: failed to unmount /mnt/iphone: Device or resource busy<br />
% fuser -vua /mnt/iphone<br />
KÄYTTÄJÄ PID ACCESS KÄSKY<br />
/mnt/iphone: root kernel mount (root)/mnt/iphone<br />
<br />
Vaikka kaikki tiedostohallinta- ja shell ohjelmat olisivatkin sammutettu, usein kuvia ja videoita käsittelevät ohjelmat ovat saattaneet olla käytössä ja sellainen on mahdollisesti yhä käynnissä kyseisessä hakemistossa.<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=50597FUSE2020-10-28T10:58:39Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
'''iOS''' on [[Apple]]n mobiilikäyttöjärjestelmä jota käytetään iPhone ja iPad laitteissa.<br />
<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Udid tunnusta ei välttämättä tarvitse, ilmeisesti jos kytkettynä on ainoastaan yksi laite.<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
Irroittaminen saattaa epäonnistua jos jokin vielä käyttää tiedostojärjestelmää, fuser komennolla näkyy sen käyttäjät:<br />
fusermount: failed to unmount /mnt/iphone: Device or resource busy<br />
% fuser -vua /mnt/iphone<br />
KÄYTTÄJÄ PID ACCESS KÄSKY<br />
/mnt/iphone: root kernel mount (root)/mnt/iphone<br />
<br />
Vaikka kaikki tiedostohallinta ja shell ohjelmat olisivatkin sammutettu, usein kuvia ja videoita käsittelevät ohjelmat ovat saattaneet olla käytössä ja sellainen on mahdollisti vielä käynnissä kyseisessä hakemistossa.<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Filelight&diff=50596Filelight2020-10-28T10:53:06Z<p>Tuju: </p>
<hr />
<div>'''Filelight''' visualisoi graafisesti tiedostojärjestelmän tilankäytön hakemistorakenteessa.<br />
<br />
[[Tiedosto:Flielight.apple.png|right|thumb|Kuvakaappaus [[Apple]]n iOS-tiedostojärjestelmästä.]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Apple&diff=50595Apple2020-10-28T10:46:59Z<p>Tuju: /* Katso myös */</p>
<hr />
<div>{{Yritys<br />
| nimi=Apple Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1. huhtikuuta 1976<br />
| toimiala=Elektroniikkateollisuus ja tietotekniikka<br />
| alkuperämaa=Cupertino, Kalifornia<br />
| kotipaikka=Cupertino, Kalifornia, Yhdysvallat<br />
| kotisivu=[https://www.apple.com/ www.apple.com]<br />
| avoinkoodi=[https://opensource.apple.com/ opensource.apple.com]<br />
}}<br />
[[Tiedosto:Iphonelinux-stack-2011.png|right|thumb|Applen laitteiden protokollapino.]]<br />
<br />
'''Apple''' <br />
<br />
== iOS-laitteet ==<br />
iOS-käyttöjärjestelmää käyttäviä laitteita on pystynyt hiplaamaan Linuxista käsin, joskin viimeiset uudet versiot ovat rikkoneet yhteensopivuuden.<br />
<br />
Kytkettäessä iOS-pohjainen laite USB:llä Linux työasemaan, gVFS/AFC-pohjaiset tiedostojärjestelmät liittävät (yrittävät) laitteen tallennusmuistin työaseman hakemistojärjestelmään /run/usr/<uid>/ alle. Tämä hakemisto pitäisi näkyä KDE:n Dolphin ja Gnomen Nautilus tiedostonhallintatyökaluissa, jos kaikki toimivat kuten pitäisi.<br />
<br />
Liitoksen tiedostojärjestelmään voi tehdä myös käsin [[FUSE]]-työkaluilla ja käyttää tiedostonhallintatyökaluja sen jälkeen.<br />
<br />
==Katso myös==<br />
* [[mkLinux]]<br />
* [[OS X]]<br />
* [[CUPS]]<br />
* [[Applen näppäimistö]]<br />
* [[Nautilus]] jossa on tuki IOS käyttöjärjestelmän (puhelimet ja tabletit) tiedostonsiirtoon<br />
* [[gphoto]] on kameroiden työkalu joka siirtää tiedostoja iOS-laitteista, jos se sattuu toimimaan.<br />
* [[FUSE]] on [https://en.wikipedia.org/wiki/Filesystem_in_Userspace käyttäjätilan tiedostojärjestelmä] jonka komentulkissa toimivat työkalut tuntuvat toimivan luotettavammin kuin graafiset vastaavat.<br />
* [[Filelight]] työkalua voi käyttää visualisointiin jos ei ole selvää mihin mobiililaitteen tallennustila on kulunut.<br />
<br />
== Aiheesta muualla ==<br />
* [http://apple.com apple.com]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Filelight&diff=50594Filelight2020-10-28T10:45:01Z<p>Tuju: Ak: Uusi sivu: '''Filelight''' visualisoi graafisesti tiedostojärjestelmän tilankäytön hakemistorakenteessa. Tiedosto:Flielight.apple.png|right|thumb|Kuvakaappaus Applen iOS-tiedostojärje...</p>
<hr />
<div>'''Filelight''' visualisoi graafisesti tiedostojärjestelmän tilankäytön hakemistorakenteessa.<br />
<br />
[[Tiedosto:Flielight.apple.png|right|thumb|Kuvakaappaus Applen iOS-tiedostojärjestelmästä.]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Tiedosto:Flielight.apple.png&diff=50593Tiedosto:Flielight.apple.png2020-10-28T10:43:35Z<p>Tuju: </p>
<hr />
<div></div>Tujuhttps://www.linux.fi/w/index.php?title=Apple&diff=50592Apple2020-10-28T10:36:14Z<p>Tuju: /* Katso myös */</p>
<hr />
<div>{{Yritys<br />
| nimi=Apple Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1. huhtikuuta 1976<br />
| toimiala=Elektroniikkateollisuus ja tietotekniikka<br />
| alkuperämaa=Cupertino, Kalifornia<br />
| kotipaikka=Cupertino, Kalifornia, Yhdysvallat<br />
| kotisivu=[https://www.apple.com/ www.apple.com]<br />
| avoinkoodi=[https://opensource.apple.com/ opensource.apple.com]<br />
}}<br />
[[Tiedosto:Iphonelinux-stack-2011.png|right|thumb|Applen laitteiden protokollapino.]]<br />
<br />
'''Apple''' <br />
<br />
== iOS-laitteet ==<br />
iOS-käyttöjärjestelmää käyttäviä laitteita on pystynyt hiplaamaan Linuxista käsin, joskin viimeiset uudet versiot ovat rikkoneet yhteensopivuuden.<br />
<br />
Kytkettäessä iOS-pohjainen laite USB:llä Linux työasemaan, gVFS/AFC-pohjaiset tiedostojärjestelmät liittävät (yrittävät) laitteen tallennusmuistin työaseman hakemistojärjestelmään /run/usr/<uid>/ alle. Tämä hakemisto pitäisi näkyä KDE:n Dolphin ja Gnomen Nautilus tiedostonhallintatyökaluissa, jos kaikki toimivat kuten pitäisi.<br />
<br />
Liitoksen tiedostojärjestelmään voi tehdä myös käsin [[FUSE]]-työkaluilla ja käyttää tiedostonhallintatyökaluja sen jälkeen.<br />
<br />
==Katso myös==<br />
* [[mkLinux]]<br />
* [[OS X]]<br />
* [[CUPS]]<br />
* [[Applen näppäimistö]]<br />
* [[Nautilus]] jossa on tuki IOS käyttöjärjestelmän (puhelimet ja tabletit) tiedostonsiirtoon<br />
* [[gphoto]] on kameroiden työkalu joka siirtää tiedostoja iOS-laitteista, jos se sattuu toimimaan.<br />
* [[FUSE]] on [https://en.wikipedia.org/wiki/Filesystem_in_Userspace käyttäjätilan tiedostojärjestelmä] jonka komentulkissa toimivat työkalut tuntuvat toimivan luotettavammin kuin graafiset vastaavat.<br />
<br />
== Aiheesta muualla ==<br />
* [http://apple.com apple.com]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=50591FUSE2020-10-28T10:32:51Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
'''iOS''' on [[Apple]]n mobiilikäyttöjärjestelmä jota käytetään iPhone ja iPad laitteissa.<br />
<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Udid tunnusta ei välttämättä tarvitse, ilmeisesti jos kytkettynä on ainoastaan yksi laite.<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=50590FUSE2020-10-28T10:32:36Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
'''iOS''' on [[Apple]]:n mobiilikäyttöjärjestelmä jota käytetään iPhone ja iPad laitteissa.<br />
<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Udid tunnusta ei välttämättä tarvitse, ilmeisesti jos kytkettynä on ainoastaan yksi laite.<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=50589FUSE2020-10-28T10:30:53Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Udid tunnusta ei välttämättä tarvitse, ilmeisesti jos kytkettynä on ainoastaan yksi laite.<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Folding@home&diff=49815Folding@home2020-04-09T11:41:08Z<p>Tuju: /* Käyttö */</p>
<hr />
<div>{{Ohjelma<br />
| nimi=Folding@home<br />
| kuva=[[Kuva:FoldingAtHome-log.png|150px]]<br />
| kuvateksti=<br />
| lisenssi=suljettu, [[GPLv3]]<br />
| käyttöliittymä=[[X]]/teksti, [[Taustaprosessi]], [[Python]], [[GTK]]+<br />
| kotisivu=[https://foldingathome.org/ foldingathome.org]<br />
| lahdekoodi=[https://github.com/FoldingAtHome Github.com/FoldingAtHome]<br />
}}<br />
[[Kuva:FoldingAtHomeViewer.png|200px|right|thumb|Folding@home Viever]]<br />
[[Kuva:FoldingAtHomeControl.png|200px|right|thumb|Folding@home Control]]<br />
<br />
'''Folding@home'''on Stanfordin yliopiston hajautetun laskennan projekti. Folding@home käyttäjät voivat lahjoittaa tietokoneensa prosessoriaikaa projektien laskentaan. Ohjelma laskee proteiinien muodostamia kolmiulotteisia rakenteita, erityisesti niiden laskostumista. Hajautettu laskenta ajetaan automaattisena [[Taustaprosessi|taustaprosessina]]. Laskentatehoon voi vaikuttaa <tt>FAHControl</tt>-ohjelman avulla.<br />
<br />
==Asennus==<br />
Ohjelman kotisivulta löytyvät [[Fedora]]n ja [[Debian]]in asennuspaketit, sekä versiot MacOS:lle ja Windowsille.<br />
<br />
==Käyttö==<br />
FAHClient -ohjelman ajamiseen Linuxissa on kaksi vaihtoehtoa:<br />
<br />
Suorita järjestelmäpalveluna. Tämä on suositeltava ja oletusasetus. FAHClient-palvelu asennetaan automaattisesti asennuspaketin kautta, ja se alkaa käynnistyksen yhteydessä. Ohjaa ja konfiguroi sitten FAHClient FAHControlilla. Huomaa, että FAHControl ei käynnistä tai pysäytä FAHClient-prosessia. Tämä asennus käyttää <tt>/etc/fahclient/config.xml</tt> ja toimii hakemistossa <tt>/var/lib/fahclient/</tt>. Älä aja FAHClientia suoraan palvelun ollessa käynnissä.<br />
<br />
Suorita komentoriviltä. Vaihtoehtoisesti palvelun ollessa pois käytöstä on mahdollista ajaa FAHClient manuaalisesti valitsemasi hakemiston komentoriviltä. FAHClient toimii nykyisessä hakemistossa ja käyttää <tt>config.xml</tt>-tiedostoa samasta hakemistosta.<br />
<br />
Molemmat vaihtoehdot voivat olla päättömät, jos et halua käyttää FAHControlia. FAHClient voidaan määrittää etäkäyttöä varten muokkaamalla <tt>/etc/fahclient/config.xml</tt>, mutta ole varovainen tekeessäsi tätä. FAHClient käynnistetään ja lopetetaan palvelukomentosarjan avulla <tt>/etc/init.d/FAHClient</tt>.<br />
<br />
{{oikeudet}}<br />
<br />
Käynnistys <br />
# /etc/init.d/FAHClient start<br />
Lopetus<br />
# /etc/init.d/FAHClient stop<br />
Asetukset<br />
# /etc/init.d/FAHClient --configure<br />
<br />
Useamman noodin ympäristössä asetustiedostoon tulee lisätä interaktiivisen asetusten lisäksi XML-elementtejä jotka sallivat etähallinnan esimerkiksi sisäverkosta:<br />
<allow v='127.0.0.1 172.1.1.0/24'/><br />
<!-- Remote Command Server --><br />
<command-allow-no-pass v='127.0.0.1 172.1.1.0/24'/><br />
<br />
Loki<br />
# /etc/init.d/FAHClient log<br />
Ohje<br />
# /etc/init.d/FAHClient --help<br />
<br />
Juuri käynnistää ja lopettaa palvelut, mutta asiakas pudottaa automaattisesti juurioikeudet, kun sitä suoritetaan. Se toimii rajoitetussa asiakastilissä turvallisuuden lisäämiseksi. Palvelun aloittaminen ja lopettaminen ei kuitenkaan ole ollenkaan välttämätöntä, kun käytät FAHControlia. Sen sijaan keskeyttää FAHClient. Keskeytettynä FAHClientin tulee olla joutokäynnillä taustalla merkityksettömien resurssien avulla.<br />
<br />
== Aiheesta muualla ==<br />
* [http://fi.wikipedia.org/wiki/Folding@home Suomenkielisen Wikipedian Folding@home-artikkeli]<br />
* [https://foldingathome.org/support/faq/installation-guides/linux/command-line-options/ Komentorivi komennot]<br />
* [https://apps.foldingathome.org/getpasskey Get a Folding@home Passkey]<br />
* [https://stats.foldingathome.org/team/252923 Wikilinux team]<br />
<br />
[[Luokka:Hajautettu laskenta]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Dolphin&diff=49257Dolphin2019-08-25T10:56:27Z<p>Tuju: </p>
<hr />
<div>{{Ohjelma <br />
| nimi=Dolphin<br />
| kuva=[[Kuva:Dolphin.png|200px]]<br />
| kuvateksti=Dolphin KDE 4.1:ssä.<br />
| lisenssi=[[GPL]]v2, [[GFDL]] <br />
| käyttöliittymä=[[Qt]]<br />
| kotisivu=[http://dolphin.kde.org/ dolphin.kde.org]<br />
}}<br />
<br />
'''Dolphin''' on [[KDE]]:n ensisijainen tiedostohallintaohjelma KDE 4.0:sta alkaen. <br />
<br />
<br />
[[Luokka:KDE-ohjelmat]]<br />
[[Luokka:Tiedostonhallinta]]<br />
<br />
[[pl:Dolphin]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Nautilus&diff=49256Nautilus2019-08-25T10:54:24Z<p>Tuju: /* Katso myös */</p>
<hr />
<div>{{Ohjelma<br />
| nimi=Nautilus<br />
| kuva=[[Kuva:Nautilus.png|200px]]<br />
| kuvateksti=<br />
| lisenssi=[[GPLv2+]]<br />
| käyttöliittymä=[[GTK+]]<br />
| kotisivu=[https://wiki.gnome.org/Apps/Nautilus wiki.gnome.org/Apps/Nautilus]<br />
}}<br />
[[Kuva:tiedostoselain-nautilus.png|258px|right|thumb|Laajempi tiedostonhallintanäkymä.]]<br />
<br />
'''Nautilus''' on [[GTK|GTK:lla]] toteutettu tiedostonhallintasovellus [[GNOME|GNOME-työpöydälle]]. Se noudattelee muustakin GNOMEsta tunnettua yksinkertaista linjaa. Nautiluksella onnistuu myös CD:n polttaminen.<br />
<br />
==Vinkkejä==<br />
*Tiedoston kopiointi onnistuu helposti, kun pitää {{Näppäin|CTRL}}-nappia pohjassa raahatessaan kuvaketta. [[Symbolinen linkki|Symbolisen linkin]] taas saa tehtyä pitämällä pohjassa näppäimiä {{Näppäin|CTRL|SHIFT}}.<br />
*[[Komentorivi]]ltä käynnistettynä Nautilus tukee [[valitsin|valitsimia]] <tt>--no-desktop</tt> (ei piirrä Gnomen työpöytää) ja <tt>--browser</tt> (käynnistyy laajemmassa näkymässä), siis esimerkiksi <tt>nautilus --no-desktop --browser</tt>.<br />
*Nautiluksen käynnistäminen pääkäyttäjä tilassa. Paina näppäimiä {{Näppäin|Alt|F2}} ja lisää riville <tt>gksudo nautilus</tt>.<br />
* [[Apple|Applen]] iPhone ja iPad tuki saattaa toimia jos [http://www.libimobiledevice.org/ libimobiledevice], ifuse, gvfs-afc ja gvfs-gphoto2 on asennettuina.<br />
* Jotta KDE-ohjelmat osaisivat avata tiedostoja nautiluksesta, järjestelmästä tulee löytyä kio-metodi AFC-protokollalle, eli ''kio_afc.so'' plugin.<br />
[[Tiedosto:Nautilus.ipad.png|thumb|Aktiivinen iPad taulutietokoneen kahlaus Fedoran KDE-työpöydällä.]]<br />
<br />
Toisissa jakeluissa nautiluksen pakettien asennus vetää mukanaan ''tracker-miners'' paketin jonka työkalut tutkivat ohjelmointivirheiden takia syntyneitä core-tiedostoja. Nämä suoritukset ovat raskaita ja se todennäköisesti näkyy merkittävänä tietokoneen hitautena, häiriten sen varsinaista käyttöä.<br />
<br />
==Katso myös==<br />
*[[Dolphin]]<br />
*[[Thunar]]<br />
*[[nautilus-elementary]] - laajennus joka muuttaa nautiluksen ulkonäön selkeämmäksi.<br />
<br />
==Aiheesta muualla==<br />
*[http://g-scripts.sourceforge.net/ Skriptejä Nautilukselle]<br />
* https://wiki.gentoo.org/wiki/Apple_iPod,_iPad,_iPhone<br />
<br />
[[Luokka:GNOME-ohjelmat]]<br />
[[Luokka:Poltto-ohjelmat]]<br />
[[Luokka:Tiedostonhallinta]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Nautilus&diff=49243Nautilus2019-08-23T10:25:37Z<p>Tuju: </p>
<hr />
<div>{{Ohjelma<br />
| nimi=Nautilus<br />
| kuva=[[Kuva:Nautilus.png|200px]]<br />
| kuvateksti=<br />
| lisenssi=[[GPLv2+]]<br />
| käyttöliittymä=[[GTK+]]<br />
| kotisivu=[https://wiki.gnome.org/Apps/Nautilus wiki.gnome.org/Apps/Nautilus]<br />
}}<br />
[[Kuva:tiedostoselain-nautilus.png|258px|right|thumb|Laajempi tiedostonhallintanäkymä.]]<br />
<br />
'''Nautilus''' on [[GTK|GTK:lla]] toteutettu tiedostonhallintasovellus [[GNOME|GNOME-työpöydälle]]. Se noudattelee muustakin GNOMEsta tunnettua yksinkertaista linjaa. Nautiluksella onnistuu myös CD:n polttaminen.<br />
<br />
==Vinkkejä==<br />
*Tiedoston kopiointi onnistuu helposti, kun pitää {{Näppäin|CTRL}}-nappia pohjassa raahatessaan kuvaketta. [[Symbolinen linkki|Symbolisen linkin]] taas saa tehtyä pitämällä pohjassa näppäimiä {{Näppäin|CTRL|SHIFT}}.<br />
*[[Komentorivi]]ltä käynnistettynä Nautilus tukee [[valitsin|valitsimia]] <tt>--no-desktop</tt> (ei piirrä Gnomen työpöytää) ja <tt>--browser</tt> (käynnistyy laajemmassa näkymässä), siis esimerkiksi <tt>nautilus --no-desktop --browser</tt>.<br />
*Nautiluksen käynnistäminen pääkäyttäjä tilassa. Paina näppäimiä {{Näppäin|Alt|F2}} ja lisää riville <tt>gksudo nautilus</tt>.<br />
* [[Apple|Applen]] iPhone ja iPad tuki saattaa toimia jos [http://www.libimobiledevice.org/ libimobiledevice], ifuse, gvfs-afc ja gvfs-gphoto2 on asennettuina.<br />
* Jotta KDE-ohjelmat osaisivat avata tiedostoja nautiluksesta, järjestelmästä tulee löytyä kio-metodi AFC-protokollalle, eli ''kio_afc.so'' plugin.<br />
[[Tiedosto:Nautilus.ipad.png|thumb|Aktiivinen iPad taulutietokoneen kahlaus Fedoran KDE-työpöydällä.]]<br />
<br />
Toisissa jakeluissa nautiluksen pakettien asennus vetää mukanaan ''tracker-miners'' paketin jonka työkalut tutkivat ohjelmointivirheiden takia syntyneitä core-tiedostoja. Nämä suoritukset ovat raskaita ja se todennäköisesti näkyy merkittävänä tietokoneen hitautena, häiriten sen varsinaista käyttöä.<br />
<br />
==Katso myös==<br />
*[[Konqueror]]<br />
*[[Thunar]]<br />
*[[nautilus-elementary]] - laajennus joka muuttaa nautiluksen ulkonäön selkeämmäksi.<br />
<br />
==Aiheesta muualla==<br />
*[http://g-scripts.sourceforge.net/ Skriptejä Nautilukselle]<br />
* https://wiki.gentoo.org/wiki/Apple_iPod,_iPad,_iPhone<br />
<br />
[[Luokka:GNOME-ohjelmat]]<br />
[[Luokka:Poltto-ohjelmat]]<br />
[[Luokka:Tiedostonhallinta]]</div>Tujuhttps://www.linux.fi/w/index.php?title=K%C3%A4ytt%C3%A4j%C3%A4:Tuju&diff=48235Käyttäjä:Tuju2018-10-02T09:19:50Z<p>Tuju: </p>
<hr />
<div>Fedora-leirin säätäjä. <br />
<br />
Olen lopettanut aktiivisen osallistumisen tässä wikissä, koska olen monen nykyisen muokkaajan kanssa jyrkästi eri mieltä tehdyistä muutoksista ja tyylistä miten tätä wikiä tehdään (tämä ei tarkoita, ettenkö jotain pientä tekisi jos hyöty siitä ylittää perseilyn sietämisen). Eli pitäkää tunkkinne.<br />
<br />
== Jakeluhistoria ==<br />
<br />
* SLS<br />
* Slackware<br />
* RHL<br />
* Fedora, RHEL<br />
* Fedora, CentOS. <br />
<br />
On myös tullu kokeiltua Debiania, Gentoota ja erinäisiä afrikkalaisia jakeluita "riittävästi". Työn puolesta SunOS:n, DEC UNIX:n, Solariksen, HP-UX:n, IRIX:n, BSD:n ropailua.<br />
<br />
== Suosittelen ==<br />
<br />
Kyläile Tarton [http://arvutimuuseum.ut.ee/ arvutimuuseum.ut.ee] (tietokonemuseo) sivuilla, sieltä löytyy mielenkiintoisia UNIX-laitteita.<br />
<br />
Jos tunnistat [http://arvutimuuseum.ut.ee/index.php?m=taiendamine vironkieliseltä listalta] käytöstä poistettuja laitteita ja pystyisit junailemaan niiden lahjoittamisen museolle, ne otetaan kiitollisena vastaan. Lahjoittaja ei joudu kuljettamaan tai näkemään vaivaa, pelkkä ilmoitus mroos@ut.ee osoitteeseen riittää. Mainitse hänelle ''tuju'' jos järjestely tarvitsee apua.</div>Tujuhttps://www.linux.fi/w/index.php?title=Keskustelu_k%C3%A4ytt%C3%A4j%C3%A4st%C3%A4:Wiki&diff=48094Keskustelu käyttäjästä:Wiki2018-05-14T08:20:50Z<p>Tuju: Ak: Uusi sivu: Tervetuloa Wikiin Wiki! Hienoa saada sinut mukaan, spämmääjiä ei ole ikinä liikaa.</p>
<hr />
<div>Tervetuloa Wikiin Wiki! Hienoa saada sinut mukaan, spämmääjiä ei ole ikinä liikaa.</div>Tujuhttps://www.linux.fi/w/index.php?title=Victron_Energy&diff=48093Victron Energy2018-05-14T08:19:46Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Victron Energy<br />
| logo=<br />
| logoteksti=<br />
| perustettu=<br />
| toimiala=energiatekniikka<br />
| alkuperämaa=Alankomaat<br />
| kotipaikka=<br />
| kotisivu=[https://www.victronenergy.com victronenergy.com] <br />
| avoinkoodi=[https://www.victronenergy.com/live/open_source:start victronenergy.com]<br />
}}<br />
<br />
'''Victron Energy''' valmistaa sähköinverttereitä. Laitteiden hallintatietokoneessa käytetään Linuxia.<br />
<br />
[[Luokka: Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=48090FUSE2018-04-27T12:26:23Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä. Parittamisen työkalut löytyvät paketista ''libimobiledevice-utils''.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=48089FUSE2018-04-27T12:07:25Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' <br />
Virhe johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=48088FUSE2018-04-27T12:05:25Z<p>Tuju: /* Apple iOS */</p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
Jos liitokset tiedostojärjestelmään tekee root-oikeuksilla, normaalit käyttäjät eivät näe koko liitoshakemistoa, saati sen sisältöä.<br />
<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Apple&diff=48084Apple2018-04-27T11:23:55Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Apple Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1. huhtikuuta 1976<br />
| toimiala=Elektroniikkateollisuus ja tietotekniikka<br />
| alkuperämaa=Cupertino, Kalifornia<br />
| kotipaikka=Cupertino, Kalifornia, Yhdysvallat<br />
| kotisivu=[https://www.apple.com/ www.apple.com]<br />
| avoinkoodi=[https://opensource.apple.com/ opensource.apple.com]<br />
}}<br />
[[Tiedosto:Iphonelinux-stack-2011.png|right|thumb|Applen laitteiden protokollapino.]]<br />
<br />
'''Apple''' <br />
<br />
== iOS-laitteet ==<br />
iOS-käyttöjärjestelmää käyttäviä laitteita on pystynyt hiplaamaan Linuxista käsin, joskin viimeiset uudet versiot ovat rikkoneet yhteensopivuuden.<br />
<br />
Kytkettäessä iOS-pohjainen laite USB:llä Linux työasemaan, gVFS/AFC-pohjaiset tiedostojärjestelmät liittävät (yrittävät) laitteen tallennusmuistin työaseman hakemistojärjestelmään /run/usr/<uid>/ alle. Tämä hakemisto pitäisi näkyä KDE:n Dolphin ja Gnomen Nautilus tiedostonhallintatyökaluissa, jos kaikki toimivat kuten pitäisi.<br />
<br />
Liitoksen tiedostojärjestelmään voi tehdä myös käsin [[FUSE]]-työkaluilla ja käyttää tiedostonhallintatyökaluja sen jälkeen.<br />
<br />
==Katso myös==<br />
* [[mkLinux]]<br />
* [[OS X]]<br />
* [[CUPS]]<br />
* [[Applen näppäimistö]]<br />
* [[Nautilus]] jossa on tuki IOS käyttöjärjestelmän (puhelimet ja tabletit) tiedostonsiirtoon<br />
* [[gphoto]] on kameroiden työkalu joka siirtää tiedostoja iOS-laitteista, jos se sattuu toimimaan.<br />
* [[FUSE]] <br />
<br />
== Aiheesta muualla ==<br />
* [http://apple.com apple.com]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=FUSE&diff=48083FUSE2018-04-27T11:23:04Z<p>Tuju: </p>
<hr />
<div>'''FUSE''' (''Filesystem in Userspace'') on tekniikka, jolla erilaisia [[tiedostojärjestelmä|tiedostojärjestelmäajureita]] voidaan toteuttaa käyttäjätilan ohjelmina, erotuksena normaaleista tiedostojärjestelmäajureista, joita ajetaan [[ydin|ytimen]] [[moduuli|moduuleina]]. FUSE mahdollistaa vaikkapa [[FTP]]- tai [[SFTP]]-etäkoneen [[mount|liittämisen]] osaksi tiedostojärjestelmää. Jos liitoskohta on esimerkiksi [[käyttäjä]]n [[kotihakemisto]]ssa, onnistuu liittäminen yleensä ilman [[pääkäyttäjä]]n oikeuksia.<br />
<br />
FUSEn kautta toimivien tiedostojärjestelmien ei tarvitse olla [[GNU GPL]]-lisensoituja kuten Linuxin ydinmodulien, minkä ansiosta samoja tiedostojärjestelmätoteutuksia voidaan käyttää vaikkapa [[FreeBSD]]:ssä tai [[Solaris|Solariksessa]], kunhan käytössä olevasta ytimestä löytyy FUSE-tuki.<br />
<br />
FUSE:n käyttö edellyttää FUSE-ohjelmiston asentamista. FUSE löytyy useimpinen jakeluiden [[paketinhallinta|paketinhallinnasta]] nimellä <tt>fuse</tt>, usein jo esiasennettuna. Myös <tt>fuse</tt>-nimisen ytimen moduulin on oltava ladattuna, mikäli sitä ei ole käännetty kiinteäksi osaksi ydintä. Moduulin voi tilapäisesti ladata komennolla <tt>[[modprobe]] fuse</tt>.<br />
<br />
Ytimen versiosta 2.6.31 lähtien käytettävissä on myös CUSE-rajapinta (''Character devices in user space''), jonka avulla tiedostojärjestelmien lisäksi voidaan toteuttaa kokonaan käyttäjätilassa myös [[laitetiedosto]]ja. Sen avulla aiotaan tulevaisuudessa mahdollisesti mm. toteuttaa vanhanaikaisen [[OSS]]-äänijärjestelmän tuki ytimen ulkopuolella, ja muutenkin siivota vanhoja ajureita ytimen ulkopuolelle.<br />
<br />
== Käyttö ==<br />
=== Apple iOS ===<br />
Ensimmäisen laitteen liittäminen tiedostojärjestelmään:<br />
ifuse /mnt/iphone --root<br />
<br />
Parittaminen:<br />
idevicepair pair<br />
''ERROR: Could not validate with device 68bcb3c420a755854fab52b520508887b20a702f because a passcode is set. Please enter the passcode on the device and retry'' johtuu laitteen ruudulla odottavasta luottosuhteen varmistamisesta, valitsemalla 'trust' komento onnistuu:<br />
idevicepair pair<br />
SUCCESS: Paired with device 68bcb3c420a755854fab52b520508887b20a702f<br />
<br />
Liittäminen udid:llä:<br />
ifuse --udid 68bcb3c420a755854fab52b520508887b20a702f /mnt/iphone<br />
<br />
Liitoksen varmistaminen mount-listauksesta:<br />
mount<br />
ifuse on /mnt/iphone type fuse.ifuse (rw,nosuid,nodev,relatime,user_id=0,group_id=0)<br />
<br />
Liitetyn laitteen irroitus tiedostojärjestelmästä:<br />
fusermount -u /mnt/iphone<br />
<br />
==Katso myös==<br />
*[[Ntfs-3g]]<br />
*[[Sshfs]]<br />
*[[Levykuva#Fuseiso|Fuseiso]]<br />
*[[EncFS]]<br />
<br />
==Aiheesta muualla==<br />
*[http://fuse.sourceforge.net/ FUSE:n kotisivu]<br />
*[[wikipedia:Filesystem in Userspace|FUSE Wikipediassa]]<br />
*[http://lwn.net/Articles/308445/ CUSE-artikkeli LWN:ssä]<br />
<br />
[[Luokka:Tiedostojärjestelmät]]</div>Tujuhttps://www.linux.fi/w/index.php?title=GPhoto&diff=48082GPhoto2018-04-27T10:47:56Z<p>Tuju: /* Käyttö */</p>
<hr />
<div>{{DISPLAYTITLE:{{lcfirst:{{PAGENAME}}}}}}<br />
'''gPhoto'''a käytetään [[digikamera]]n kuvien tietokoneelle kopioimiseen. Se mahdollistaa kuvien haun kameroista, jotka eivät tue [[Usb-muisti|USB-massamuistitekniikkaa]]. gPhoto tukee yli 800:aa kameramallia ja vaikka virallista tukea ei tietylle kameralle löytyisikään, pystyy gPhoto yleensä hakemaan kuvat [[PTP]]-protokollan avulla. <br />
<br />
gPhoto toimii taustalla useimmissa Linuxin kuvanhakutoiminnoissa. Näitä löytyy mm. [[Digikam]]ista, [[F-Spot]]ista, [[GThumb]]ista sekä [[KDE]]:sta digikamera-[[KIO|kioslaven]] kautta.<br />
<br />
== Käyttö ==<br />
gPhotoon sisältyy [[komentorivi]]pohjainen käyttöliittymä. Seuraavat komennot käsittelevät laitteen tiedostoja tietokoneen työhakemistossa:<br />
<br />
Listataan hakemistot:<br />
gphoto2 --list-folders<br />
<br />
Listataan hakemistojen sisältämät alihakemistot:<br />
gphoto2 --list-folders --folder "/store_00010001"<br />
<br />
Listataan kameran sisältämät tiedostot<br />
gphoto2 -L<br />
<br />
Kopioi kaikki tiedostot:<br />
gphoto2 -P<br />
<br />
Kopioidaan tiedostot numeroiltaan 648-779 (numerot näkee ylläolevalla komennolla tai usein myös kameran näytöltä)<br />
gphoto2 -p 648-779<br />
<br />
Kopioi kaikki hakemiston tiedostot:<br />
gphoto2 --get-all-files --folder '/store_000100001/DCIM/100APPLE' <br />
<br />
Tuhoa tiedostot hakemistosta:<br />
gphoto2 --delete-all-files --folder '/store_000100001/DCIM/100APPLE' <br />
<br />
Esikatselukuvat tietynnumeroisille kuville voi hakea [[valitsin|valitsimella]] <tt>-t</tt> ja kaikille kuville valitsimella <tt>-T</tt>. Kuvien poistoon kameran muistista käyvät vastaavasti valitsimet <tt>-d</tt> ja <tt>-D</tt>. Valitsimilla <tt>--show-info</tt> ja <tt>--show-exif</tt> voidaan näyttää tietynnumeroisten kuvien perus- ja [[wikipedia:EXIF|EXIF]]-tiedot.<br />
<br />
==Aiheesta muualla==<br />
*[http://www.gphoto.org/ gPhoton kotisivu]<br />
*[http://www.gphoto.org/proj/libgphoto2/support.php Lista tuetuista kameramalleista]<br />
<br />
[[Luokka:Ajurit]]<br />
[[Luokka:Kuvankäsittelyohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Multimediatietokone&diff=48081Multimediatietokone2018-04-27T10:09:23Z<p>Tuju: </p>
<hr />
<div>'''Multimediatietokone''' (''HTPC, Home Theatre Personal Computer'').<br />
<br />
==Linux-pohjaisen multimediatietokoneen etuja ==<br />
<br />
Markkinoilla on useita edullisia tallentavia [[Digiboksit ja Linux|digibokseja]], joilla voi myös [[videon toisto|katsella videotiedostoja]] ja [[musiikin toisto|kuunnella]] esimerkiksi [[mp3]]-muodossa olevaa musiikkia. Periaatteessa ne ovat kaikki tietokoneita, mutta rajoitetun käyttöjärjestelmän takia niiden käyttö on myös rajoitettua. Oman multimediakeskuksen rakentamisen selkein etu on se, että yhdellä laitteella voidaan korvata kaikki vanhat digiboksit ja DVD-soittimet yms ja sen lisäksi sillä voi tehdä paljon uusia asioita, joihin muut kotielektroniikkalaitteet eivät taivu.<br />
<br />
Linuxin avulla voit rakentaa multimediatietokoneen, jolla voit esimerkiksi:<br />
* katsella ja tallentaa televisio-ohjelmia kuten millä tahansa tallentavalla digiboksillakin<br />
* katsella DVD-elokuvia ja muita video-/musiikkitiedostoja suoraan CD/DVD-levyltä<br />
* katsella mitä tahansa videotiedostoja ja hallita elokuvakokoelmaasi<br />
* katsella esimerkiksi YouTubea tai [[Yle Areena ja Elävä arkisto|Yle Areenan]] lähetyksiä suoraan "telkkarista"<br />
* katsella mitä tahansa [[:Luokka:Kuvankatseluohjelmat|kuvatiedostoja]] ja hallita digikuvakokoelmaasi<br />
* kuunnella mitä tahansa äänitiedostoja ja hallita musiikkikokoelmaasi sekä ladata musiikkikokoelmastasi tiedostoja myös kannettavaan soittimeen<br />
* [[WWW-selaimet|selata nettiä]], lukea [[sähköposti]]a ja muutenkin tehdä mitä tahansa tietokoneella ylipäänsä voi.<br />
* aina päällä olevaa kodin mediakeskustietokonetta voi käyttää myös kodin muiden tietokoneiden tiedosto- ja varmuuskopiointipalvelimena<br />
* aina päällä oleva kodin mediakeskustietokone sopii erinomaisesti myös kodin hermokeskukseksi joka ohjaa kodin muita älykkäitä valaistus- ja turvajärjestelmiä ja jonka kiintolevylle voi vaikkapa tallentaa turvakameran kuvaa<br />
<br />
Lisäksi digiboksiin verrattuna Linux-multimediatietokoneen etuja ovat:<br />
* jos digi-TV-standardit muuttuvat (esim. teräväpiirtolähetykset alkavat) ei tarvitse ostaa uutta multimediatietokonetta, vaan riittää että päivittää ohjelmiston<br />
* jos laitteeseen haluaa lisää ominaisuuksia, sitä voi laajentaa uudella kiintolevyllä tai lisäkortilla, eikä koko laitetta tarvitse uusia kerralla<br />
<br />
== Linux-pohjaisen multimediatietokoneen haitat ==<br />
* Rakentelu vaatii jonkin verran aikaa ja perehtymistä<br />
* Multimediatietokone on useimmiten kalliimpi hankkia kuin tavallisen tallentavan digiboksin hankinta<br />
* Sopivan Linux-yhteensopivan laitteiston etsiminen voi olla hankalaa<br />
* Useimmat multimediaohjelmistot ovat melko uusia ja niissä on vielä osittain paljonkin kehitettävää jäljellä<br />
<br />
=Multimediaohjelmistot=<br />
Linuxille löytyy lukuisa joukko erilaisia äänen ja videon toisto-ohjelmia sekä niiden hallintaan tarkoitettuja jukebox-tyyppisiä ohjelmia, katso esimerkiksi luokka [[:Luokka:Multimedia|Multimedia]].<br />
<br />
Nimenomaan [[kaukosäätimet|kaukosäätimellä]] ohjattaviksi tarkoitettuja kaiken kattavia multimediaohjelmistoja ovat:<br />
* [[Kodi]] [http://kodi.tv/] on mediakeskusohjelmisto, johon saa erilaisia liitännäisiä.<br />
* [[MythTV]] [http://www.mythtv.org/]<br />
* [[GeeXboX]] on multimediatietokoneessa toimimaan tarkoitettu [[live-cd]]-pohjainen [[jakelu]]<br />
** edut: pieni CD (8 MB!), ohjelma latautuu kokonaan muistiin eikä käynnistyksen jälkeen tarvitse enää CD:tä (toki sen voi asentaa myös kiintolevylle), soitin perustuu mplayer:iin joten voi soittaa melkein mitä tahansa mediatiedostoja, graafinen ja helppo valikkopohjainen käyttöliittymä<br />
** haitat: rajallinen laitetuki (ei esim tunnistanut koneeni äänikorttia), käyttöliittymä reagoi hieman viiveellä, ilmeisesti DVB-tuki puuttuu eikä projekti ole julkaissut päivityksiä yli vuoteen.<br />
* [http://www.entertainer-project.com/ Entertainer] (kehityshanketta johtaa suomalainen Lauri Taimila, nykyinen versio 0.1)<br />
** edut: elegantti tekninen pohja (gstreamer+python+clutter) ja kaunis käyttöliittymä<br />
** haitat: DVB-tuki puuttuu vielä<br />
* [http://www.moovida.com Moovida]<br />
** edut: todella kaunis, helppo käyttää valikkopohjaisesta graafisesta käyttöliittymästä, sisältää käytännössä kaikki yllä mainitut ominaisuudet, kehitys aktiivista<br />
** haitat: DVB-tuki puuttuu, ei tietoa onko se edes suunnitteilla<br />
* [http://freevo.sourceforge.net/ Freevo]<br />
* [http://www.linuxmce.org/ LinuxMCE]<br />
** edut: todella runsaasti ominaisuuksia, laite käy koko kodin automatisointiin<br />
** haitat: liikaa ominaisuuksia eikä ominaisuudet vaikuta kunnolla viimeistellyiltä (mm. käyttöliittymä hankala)<br />
* [http://www.cadsoft.de/vdr/ VDR], joka on erityisesti "digiboksiohjelmisto", mutta liitännäisten avulla sopii myös muun sisällön toistamiseen<br />
* [[Boxee]] on mediakeskusohjelmisto, joka löytyy myös useista digibokseista.<br />
<br />
=Laitteistot=<br />
<br />
==Pohdintaa laitteistosta==<br />
<br />
* Luonnollisesti multimediatietokoneeksi sopivassa laitteessa tulisi olla riittävästi potkua multimedian käsittelyyn, mutta toisaalta kaikissa nykyisin myytävissä tietokoneissa on varsin runsaasti tehoja.<br />
* Tärkeämpää voisi ehkä olla hiljainen toiminta - olisi ikävää jos laitteen tuuletin häiritsisi muuten mukavaa mediankatseluelämystä. <br />
* Pieni virrankulutus on myös plussaa ja yleensä korreloi hiljaisuuden kanssa. <br />
* Isot kiintolevyt ovat halpoja, joten kannattaa ostaa suoraan nopea ja isokokoinen kiintolevy. Samoin RAM-muisti on halpaa, joten kannattaa ostaa täydet 4 GB mitä enempää 32-bittinen käyttöjärjestelmä ei pysty hyödyntämään. <br />
* Laitteeseen pitäisi mielellään saada kytkettyä kaksi PCI-paikkaista DVB-viritintä, että voi katsella ja nauhoittaa mitä tahansa ohjelmaa samaan aikaan. Toisaalta myös USB-liitäntäinen kakkosviritin voisi kelvata.. <br />
* Langaton hiiri ja näppäimistö on ehdoton, kaukosäädin mukava lisä. <br />
* Jotta laitteella voisi esim. kuunnella musiikkia ilman että TV/päänäyttö on päällä, pitäisi laitteen etupaneelissa olla LCD-näyttö, josta näkee mm. soivan kappaleen nimen (ja musiikkiohjelmaa pitää pystyä hallitsemaan kaukosäätimellä). <br />
* Jotta laitteesta saisi täyden hyödyn irti, pitäisi sen laiteajurit olla 100 % Linux-yhteensopivia. <br />
* Kuvanlaadun kannalta on tärkeää että laitteessa on digitaalinen kuvaulostulo, eli DVI, HDMI tai displayport. Hifisti tarvitsee myös keskimääräistä paremmat äänen ulostulot.<br />
<br />
Jos laite on näkyvällä paikalla olohuoneessa, tulisi sen myös olla tyylikkään näköinen.<br />
<br />
===Multimediatietokoneeksi sopivia koteloita/runkoja===<br />
<br />
Seuraavat kotelot sopisivat ulkonäkönsä ja ominaisuuksiensa puolesta Linux-multimediakeskuksen rungoksi ja olivat saatavilla heinäkuussa 2008.<br />
* [http://global.msi.com.tw/index.php?func=proddesc&prod_no=1113&maincat_no=134 MSI Media Live] (toimii muuten hyvin Linuxissa, mutta kaukosäätimen vastaanotto [http://ubuntuforums.org/showthread.php?t=683002 ei toimi pidemmillä etäisyyksillä]?)<br />
* [http://minipc.aopen.com/Global/ AOpen MiniPC] (Sytem76 myy runkoon perustuvia Linux-koneita, joten täytyy olla Linux-yhteensopiva)<br />
* [http://eu.shuttle.com/dk/DesktopDefault.aspx/tabid-72/170_read-14269/ Shuttle SG31G5] (tarkistettu IRL olevan Linux-yhteensopiva)<br />
* [http://eu.shuttle.com/dk/DesktopDefault.aspx/tabid-72/170_read-14213/ Shuttle SG33G5M] (tarkistettu olevan Linux-yhteensopiva, myös kaukosäädin ja VCD)<br />
* [http://www.psile.com/index.php?page=catalog_details&CID=2 Nexus Psile] (ei sisällä emolevyä, eli Linux-yhteensopivuudesta ei voi sanoa mitään)<br />
<br />
Tällä hetkellä suositeltavinta on ostaa [http://www.linuxkauppa.fi/tuote/3896 Linuxkauppa.fi:stä multimediakäyttöön räätälöity Shuttle], jonka Linux-yhteensopivuus on taattu ja laite on varmasti olohuoneeseen tervetullut. Paketissa ei valitettavasti ole mukana DVB-korttia ja kaukosäädintä, mutta esimerkiksi Ubuntu 8.10-versiossa suoraan toimivan Satelcon PCI-DVB-T/C/S-kortin ja kaukosäätimen voi ostaa ostaa [http://www.dvbshop.net/ saksalaisesta DVBShop.net:stä]. Kyseiselle mallille löytyy myös CI-moduuli, mutta sen Linux-yhteensopivuutta ei ole testattu kunnolla (vielä).<br />
<br />
==Valmiita kokoonpanoja==<br />
Markkinoilla on valmiita multimediatietokoneita, joilla voi säilöä mediakokoelmiaan sekä katsella niitä, mutta ko. laitteista puuttuu [[Linux ja digi-tv|digi-TV:n]] katselu- ja tallennusmahdollisuus. Esimerkiksi:<br />
* [http://www-uk.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=UK%2FLayout&cid=1172713255586&pagename=Linksys%2FCommon%2FVisitorWrapper&lid= KiSS 1600 HD Media Player] (Linux-pohjainen)<br />
* [http://www.tvix.co.kr/eng/ Divico Tvix-sarja]<br />
<br />
Muita hyviä esimerkkejä (käyttöjärjestelmää lukuunottamatta) ovat [http://www.hushtest.de/cgi-bin/hushshop/shop/shop_selection.pl?lang=en&kind=Endkunde&uid=1122.511.64.5709&site=005004 HUSH™ E1-Mini] ja [http://www.endpcnoise.com/cgi-bin/e/std/sku=mcubed_core2_htpc.html EndPCnoise.com FANLESS Core 2 Home Theater PC].<br />
<br />
==Aiheesta muualla==<br />
* [http://fi.wikipedia.org/wiki/HTPC HTPC suomenkielisessä Wikipediassa]<br />
* [http://www.linuxtv.org/ LinuxTV.org] on DVB-laiteajureiden pääkehityspaikka<br />
* [http://www.linuxis.us/linux/media/howto/linux-htpc/index.html Linux-HTPC Guide] <br />
<br />
[[Luokka:Multimedia]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Multimediatietokone&diff=48063Multimediatietokone2018-04-08T10:43:20Z<p>Tuju: /* Multimediaohjelmistot */</p>
<hr />
<div>==Linux-pohjaisen multimediatietokoneen etuja ==<br />
<br />
Markkinoilla on useita edullisia tallentavia [[Digiboksit ja Linux|digibokseja]], joilla voi myös [[videon toisto|katsella videotiedostoja]] ja [[musiikin toisto|kuunnella]] esimerkiksi [[mp3]]-muodossa olevaa musiikkia. Periaatteessa ne ovat kaikki tietokoneita, mutta rajoitetun käyttöjärjestelmän takia niiden käyttö on myös rajoitettua. Oman multimediakeskuksen rakentamisen selkein etu on se, että yhdellä laitteella voidaan korvata kaikki vanhat digiboksit ja DVD-soittimet yms ja sen lisäksi sillä voi tehdä paljon uusia asioita, joihin muut kotielektroniikkalaitteet eivät taivu.<br />
<br />
Linuxin avulla voit rakentaa multimediatietokoneen, jolla voit esimerkiksi:<br />
* katsella ja tallentaa televisio-ohjelmia kuten millä tahansa tallentavalla digiboksillakin<br />
* katsella DVD-elokuvia ja muita video-/musiikkitiedostoja suoraan CD/DVD-levyltä<br />
* katsella mitä tahansa videotiedostoja ja hallita elokuvakokoelmaasi<br />
* katsella esimerkiksi YouTubea tai [[Yle Areena ja Elävä arkisto|Yle Areenan]] lähetyksiä suoraan "telkkarista"<br />
* katsella mitä tahansa [[:Luokka:Kuvankatseluohjelmat|kuvatiedostoja]] ja hallita digikuvakokoelmaasi<br />
* kuunnella mitä tahansa äänitiedostoja ja hallita musiikkikokoelmaasi sekä ladata musiikkikokoelmastasi tiedostoja myös kannettavaan soittimeen<br />
* [[WWW-selaimet|selata nettiä]], lukea [[sähköposti]]a ja muutenkin tehdä mitä tahansa tietokoneella ylipäänsä voi.<br />
* aina päällä olevaa kodin mediakeskustietokonetta voi käyttää myös kodin muiden tietokoneiden tiedosto- ja varmuuskopiointipalvelimena<br />
* aina päällä oleva kodin mediakeskustietokone sopii erinomaisesti myös kodin hermokeskukseksi joka ohjaa kodin muita älykkäitä valaistus- ja turvajärjestelmiä ja jonka kiintolevylle voi vaikkapa tallentaa turvakameran kuvaa<br />
<br />
Lisäksi digiboksiin verrattuna Linux-multimediatietokoneen etuja ovat:<br />
* jos digi-TV-standardit muuttuvat (esim. teräväpiirtolähetykset alkavat) ei tarvitse ostaa uutta multimediatietokonetta, vaan riittää että päivittää ohjelmiston<br />
* jos laitteeseen haluaa lisää ominaisuuksia, sitä voi laajentaa uudella kiintolevyllä tai lisäkortilla, eikä koko laitetta tarvitse uusia kerralla<br />
<br />
== Linux-pohjaisen multimediatietokoneen haitat ==<br />
* Rakentelu vaatii jonkin verran aikaa ja perehtymistä<br />
* Multimediatietokone on useimmiten kalliimpi hankkia kuin tavallisen tallentavan digiboksin hankinta<br />
* Sopivan Linux-yhteensopivan laitteiston etsiminen voi olla hankalaa<br />
* Useimmat multimediaohjelmistot ovat melko uusia ja niissä on vielä osittain paljonkin kehitettävää jäljellä<br />
<br />
=Multimediaohjelmistot=<br />
Linuxille löytyy lukuisa joukko erilaisia äänen ja videon toisto-ohjelmia sekä niiden hallintaan tarkoitettuja jukebox-tyyppisiä ohjelmia, katso esimerkiksi luokka [[:Luokka:Multimedia|Multimedia]].<br />
<br />
Nimenomaan [[kaukosäätimet|kaukosäätimellä]] ohjattaviksi tarkoitettuja kaiken kattavia multimediaohjelmistoja ovat:<br />
* [[Kodi]] [http://kodi.tv/] on mediakeskusohjelmisto, johon saa erilaisia liitännäisiä.<br />
* [[MythTV]] [http://www.mythtv.org/]<br />
* [[GeeXboX]] on multimediatietokoneessa toimimaan tarkoitettu [[live-cd]]-pohjainen [[jakelu]]<br />
** edut: pieni CD (8 MB!), ohjelma latautuu kokonaan muistiin eikä käynnistyksen jälkeen tarvitse enää CD:tä (toki sen voi asentaa myös kiintolevylle), soitin perustuu mplayer:iin joten voi soittaa melkein mitä tahansa mediatiedostoja, graafinen ja helppo valikkopohjainen käyttöliittymä<br />
** haitat: rajallinen laitetuki (ei esim tunnistanut koneeni äänikorttia), käyttöliittymä reagoi hieman viiveellä, ilmeisesti DVB-tuki puuttuu eikä projekti ole julkaissut päivityksiä yli vuoteen.<br />
* [http://www.entertainer-project.com/ Entertainer] (kehityshanketta johtaa suomalainen Lauri Taimila, nykyinen versio 0.1)<br />
** edut: elegantti tekninen pohja (gstreamer+python+clutter) ja kaunis käyttöliittymä<br />
** haitat: DVB-tuki puuttuu vielä<br />
* [http://www.moovida.com Moovida]<br />
** edut: todella kaunis, helppo käyttää valikkopohjaisesta graafisesta käyttöliittymästä, sisältää käytännössä kaikki yllä mainitut ominaisuudet, kehitys aktiivista<br />
** haitat: DVB-tuki puuttuu, ei tietoa onko se edes suunnitteilla<br />
* [http://freevo.sourceforge.net/ Freevo]<br />
* [http://www.linuxmce.org/ LinuxMCE]<br />
** edut: todella runsaasti ominaisuuksia, laite käy koko kodin automatisointiin<br />
** haitat: liikaa ominaisuuksia eikä ominaisuudet vaikuta kunnolla viimeistellyiltä (mm. käyttöliittymä hankala)<br />
* [http://www.cadsoft.de/vdr/ VDR], joka on erityisesti "digiboksiohjelmisto", mutta liitännäisten avulla sopii myös muun sisällön toistamiseen<br />
* [[Boxee]] on mediakeskusohjelmisto, joka löytyy myös useista digibokseista.<br />
<br />
=Laitteistot=<br />
<br />
==Pohdintaa laitteistosta==<br />
<br />
* Luonnollisesti multimediatietokoneeksi sopivassa laitteessa tulisi olla riittävästi potkua multimedian käsittelyyn, mutta toisaalta kaikissa nykyisin myytävissä tietokoneissa on varsin runsaasti tehoja.<br />
* Tärkeämpää voisi ehkä olla hiljainen toiminta - olisi ikävää jos laitteen tuuletin häiritsisi muuten mukavaa mediankatseluelämystä. <br />
* Pieni virrankulutus on myös plussaa ja yleensä korreloi hiljaisuuden kanssa. <br />
* Isot kiintolevyt ovat halpoja, joten kannattaa ostaa suoraan nopea ja isokokoinen kiintolevy. Samoin RAM-muisti on halpaa, joten kannattaa ostaa täydet 4 GB mitä enempää 32-bittinen käyttöjärjestelmä ei pysty hyödyntämään. <br />
* Laitteeseen pitäisi mielellään saada kytkettyä kaksi PCI-paikkaista DVB-viritintä, että voi katsella ja nauhoittaa mitä tahansa ohjelmaa samaan aikaan. Toisaalta myös USB-liitäntäinen kakkosviritin voisi kelvata.. <br />
* Langaton hiiri ja näppäimistö on ehdoton, kaukosäädin mukava lisä. <br />
* Jotta laitteella voisi esim. kuunnella musiikkia ilman että TV/päänäyttö on päällä, pitäisi laitteen etupaneelissa olla LCD-näyttö, josta näkee mm. soivan kappaleen nimen (ja musiikkiohjelmaa pitää pystyä hallitsemaan kaukosäätimellä). <br />
* Jotta laitteesta saisi täyden hyödyn irti, pitäisi sen laiteajurit olla 100 % Linux-yhteensopivia. <br />
* Kuvanlaadun kannalta on tärkeää että laitteessa on digitaalinen kuvaulostulo, eli DVI, HDMI tai displayport. Hifisti tarvitsee myös keskimääräistä paremmat äänen ulostulot.<br />
<br />
Jos laite on näkyvällä paikalla olohuoneessa, tulisi sen myös olla tyylikkään näköinen.<br />
<br />
===Multimediatietokoneeksi sopivia koteloita/runkoja===<br />
<br />
Seuraavat kotelot sopisivat ulkonäkönsä ja ominaisuuksiensa puolesta Linux-multimediakeskuksen rungoksi ja olivat saatavilla heinäkuussa 2008.<br />
* [http://global.msi.com.tw/index.php?func=proddesc&prod_no=1113&maincat_no=134 MSI Media Live] (toimii muuten hyvin Linuxissa, mutta kaukosäätimen vastaanotto [http://ubuntuforums.org/showthread.php?t=683002 ei toimi pidemmillä etäisyyksillä]?)<br />
* [http://minipc.aopen.com/Global/ AOpen MiniPC] (Sytem76 myy runkoon perustuvia Linux-koneita, joten täytyy olla Linux-yhteensopiva)<br />
* [http://eu.shuttle.com/dk/DesktopDefault.aspx/tabid-72/170_read-14269/ Shuttle SG31G5] (tarkistettu IRL olevan Linux-yhteensopiva)<br />
* [http://eu.shuttle.com/dk/DesktopDefault.aspx/tabid-72/170_read-14213/ Shuttle SG33G5M] (tarkistettu olevan Linux-yhteensopiva, myös kaukosäädin ja VCD)<br />
* [http://www.psile.com/index.php?page=catalog_details&CID=2 Nexus Psile] (ei sisällä emolevyä, eli Linux-yhteensopivuudesta ei voi sanoa mitään)<br />
<br />
Tällä hetkellä suositeltavinta on ostaa [http://www.linuxkauppa.fi/tuote/3896 Linuxkauppa.fi:stä multimediakäyttöön räätälöity Shuttle], jonka Linux-yhteensopivuus on taattu ja laite on varmasti olohuoneeseen tervetullut. Paketissa ei valitettavasti ole mukana DVB-korttia ja kaukosäädintä, mutta esimerkiksi Ubuntu 8.10-versiossa suoraan toimivan Satelcon PCI-DVB-T/C/S-kortin ja kaukosäätimen voi ostaa ostaa [http://www.dvbshop.net/ saksalaisesta DVBShop.net:stä]. Kyseiselle mallille löytyy myös CI-moduuli, mutta sen Linux-yhteensopivuutta ei ole testattu kunnolla (vielä).<br />
<br />
==Valmiita kokoonpanoja==<br />
Markkinoilla on valmiita multimediatietokoneita, joilla voi säilöä mediakokoelmiaan sekä katsella niitä, mutta ko. laitteista puuttuu [[Linux ja digi-tv|digi-TV:n]] katselu- ja tallennusmahdollisuus. Esimerkiksi:<br />
* [http://www-uk.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=UK%2FLayout&cid=1172713255586&pagename=Linksys%2FCommon%2FVisitorWrapper&lid= KiSS 1600 HD Media Player] (Linux-pohjainen)<br />
* [http://www.tvix.co.kr/eng/ Divico Tvix-sarja]<br />
<br />
Muita hyviä esimerkkejä (käyttöjärjestelmää lukuunottamatta) ovat [http://www.hushtest.de/cgi-bin/hushshop/shop/shop_selection.pl?lang=en&kind=Endkunde&uid=1122.511.64.5709&site=005004 HUSH™ E1-Mini] ja [http://www.endpcnoise.com/cgi-bin/e/std/sku=mcubed_core2_htpc.html EndPCnoise.com FANLESS Core 2 Home Theater PC].<br />
<br />
==Aiheesta muualla==<br />
* [http://fi.wikipedia.org/wiki/HTPC HTPC suomenkielisessä Wikipediassa]<br />
* [http://www.linuxtv.org/ LinuxTV.org] on DVB-laiteajureiden pääkehityspaikka<br />
* [http://www.linuxis.us/linux/media/howto/linux-htpc/index.html Linux-HTPC Guide] <br />
<br />
[[Luokka:Multimedia]]</div>Tujuhttps://www.linux.fi/w/index.php?title=HST&diff=47935HST2017-12-10T15:58:47Z<p>Tuju: Kumottu muokkaus 47427, jonka teki Hemmo (keskustelu) - turha optio.</p>
<hr />
<div>Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.<br />
<br />
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.<br />
<br />
== Peruskäyttäjän tehtävälista ==<br />
<br />
Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:<br />
<br />
# Hanki henkilökortti. Sitä voi anoa<br />
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.<br />
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.<br />
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.<br />
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).<br />
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).<br />
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.<br />
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].<br />
<br />
'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi &ndash; oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.<br />
<br />
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.<br />
<br />
== Laitteet ==<br />
<br />
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.<br />
<br />
<div style="margin-left: auto; margin-right: auto;"><br />
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]<br />
</div><br />
<br />
Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.<br />
<br />
<br />
==== Nykyaikaiset lukijat ==== <br />
<br />
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. <br />
<br />
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:<br />
<br />
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).<br />
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]<br />
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat<br />
<br />
<br />
==== Vanhemmat lukijat ==== <br />
<br />
Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.<br />
<br />
Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.<br />
<br />
* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.<br />
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.<br />
<br />
<br />
Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.<br />
<br />
=== Towitoko ChipDrive ===<br />
<br />
[[Tiedosto:Towitoko.chipdrive.JPG]]<br />
<br />
Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.<br />
<br />
'''openct''':<br />
<br />
Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:<br />
#reader towitoko {<br />
# driver = towitoko;<br />
# device = serial:/dev/ttyS0;<br />
#};<br />
<br />
Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.<br />
<br />
'''pcscd''':<br />
<br />
?<br />
<br />
== Ohjelmistot ==<br />
<br />
=== Arkkitehtuuri ===<br />
<br />
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.<br />
<br />
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''. <br />
<br />
'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.<br />
<br />
'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.<br />
<br />
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:<br />
<br />
<br />
[[Tiedosto:openct.png]] &nbsp;&nbsp;&nbsp;&nbsp; [[Tiedosto:pcsc-lite.png]]<br />
<br />
<br />
===Ajurit ja middleware===<br />
<br />
Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:<br />
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot<br />
* Kaupallinen ''mPollux Digisign Client''<br />
<br />
====OpenSC====<br />
<br />
Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä <br />
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.<br />
<br />
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.<br />
<br />
==== mPollux Digisign Client ====<br />
<br />
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.<br />
<br />
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.<br />
<br />
===Sovellusohjelmien tuki===<br />
<br />
Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.<br />
<br />
==== Firefox ====<br />
<br />
Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.<br />
<br />
Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.<br />
<br />
==== Opera ====<br />
<br />
Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.<br />
<br />
==== PAM ====<br />
<br />
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.<br />
<br />
==== Ssh ====<br />
<br />
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.<br />
<br />
ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.<br />
<br />
Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.<br />
<br />
==== OpenOffice.org ====<br />
<br />
Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.<br />
<br />
==== qDigiDoc ====<br />
<br />
Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.<br />
<br />
==== Lähiverkon pääsynvalvonta - 802.1x ====<br />
<br />
IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin. <br />
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.<br />
<br />
<br />
==== Gnupg ohjelmat ====<br />
<br />
Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:<br />
<br />
* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)<br />
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.<br />
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.<br />
<br />
Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.<br />
<br />
==== KDE ja PKCS#11 ====<br />
<br />
KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.<br />
<br />
Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.<br />
<br />
Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.<br />
<br />
<br />
<br />
OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.<br />
<br />
=== Apuohjelmat ===<br />
<br />
Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.<br />
<br />
==== Korttipaikkojen listaus ====<br />
$ pkcs11-tool -L<br />
Slot 8 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (perustunnusluku)<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
Slot 9 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (allekirjoitustunn<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
<br />
<br />
==== Varmenteiden listaus ====<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 00 00<br />
X.509 Certificate [todentamis- ja salausvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f004331<br />
ID : 45<br />
<br />
X.509 Certificate [allekirjoitusvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f0050164332<br />
ID : 46<br />
<br />
X.509 Certificate [VRK Gov. Root CA]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004334<br />
ID : 48<br />
<br />
X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004333<br />
ID : 47<br />
<br />
==== PIN koodin vaihto ====<br />
<br />
==== PUK koodin käyttö ====<br />
<br />
PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.<br />
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1<br />
Using reader with a card: OmniKey CardMan 1021 01 00<br />
Enter new PIN [PIN1]: ****<br />
Enter new PIN again [PIN1]: ****<br />
<br />
==== CA-varmenteiden lukeminen kortilta ====<br />
<br />
Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.<br />
<br />
Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:<br />
<br />
$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem<br />
<br />
Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.<br />
<br />
==== Yhteiskäyttö ja Opensc <= 0.11 ====<br />
<br />
Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.<br />
<br />
# By default, the OpenSC PKCS#11 module will lock your card<br />
# once you authenticate to the card via C_Login.<br />
# This is to prevent other users or other applications<br />
# from connecting to the card and perform crypto operations<br />
# (which may be possible because you have already authenticated<br />
# with the card).<br />
<br />
# Thus it is impossible to use several smart card aware<br />
# applications at the same time, e.g. you cannot run both<br />
# Firefox and Thunderbird at the same time, if both are<br />
# configured to use your smart card.<br />
#<br />
# Default: true<br />
lock_login = false;<br />
<br />
Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.<br />
<br />
<br />
==== Sovellusten jumiutumiset ====<br />
<br />
Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.<br />
<br />
Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:<br />
<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 01 00<br />
X.509 Certificate...<br />
<br />
Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.<br />
<br />
Joskus koko korttiin ei saada yhteyttä:<br />
<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 1021 00 00<br />
Failed to connect to card: Unknown error<br />
<br />
Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:<br />
<br />
# service pcscd restart<br />
Redirecting to /bin/systemctl restart pcscd.service<br />
<br />
Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.<br />
<br />
== Sovelluskohtaisia ohjeita ==<br />
<br />
Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.<br />
<br />
Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').<br />
<br />
<br />
=== Firefox ===<br />
<br />
Firefoxin varmennekortti-tuen tehtävälista:<br />
<br />
# Juurivarmenteen asentaminen (pakollinen)<br />
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)<br />
# Allekirjoitus-pluginin asentaminen<br />
<br />
==== Juurivarmenteen asentaminen ====<br />
<br />
Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.<br />
<br />
Valise kaikki:<br />
* ''Trust this CA to identify web sites''<br />
* ''Trust this CA to identify email users''<br />
* ''Trust this CA to identify software developers''<br />
<br />
Paina ''Ok''<br />
<br />
==== Korttituen lisääminen ====<br />
<br />
Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.<br />
<br />
Suomenkielisessä selaimessa:<br />
<br />
*valitse ''Muokkaa'' &rarr;'' Asetukset'' &rarr;'' Lisäasetukset'' &rarr; ''Salaus'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
Englanninkielisessä selaimessa:<br />
<br />
*valitse ''Edit'' &rarr; ''Preferences'' &rarr; ''Advanced'' &rarr; ''Encryption'' &rarr; ''Security Devices''<br />
*paina ''Load''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
<br />
==== pin2-koodin turha kysely ja onepin tausta ====<br />
<br />
Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].<br />
<br />
==== Error code: ssl_error_renegotiation_not_allowed ====<br />
<br />
Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.<br />
<br />
Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille &ndash; VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.<br />
<br />
<br />
===Thunderbird===<br />
<br />
*valitse ''Muokkaa'' &rarr; ''Asetukset'' &rarr; ''Lisäasetukset'' &rarr; ''Varmenteet'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt><br />
*edelleen lisäasetuksista valitse ''Näytä varmenteet''<br />
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''<br />
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"<br />
*valitse ''Muokkaa'' &rarr; ''Tilien asetukset''<br />
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne<br />
<br />
Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.<br />
<br />
=== qDigiDoc ===<br />
<br />
Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.<br />
<br />
=== Ssh ===<br />
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.<br />
<br />
'''Käyttö''':<br />
* Aseta kortti lukijaan ja lisää plugin:<br />
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code><br />
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:<br />
$ ssh-add -L<br />
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so<br />
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.<br />
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.<br />
<br />
<br />
'''Vianmääritys''':<br />
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.<br />
<br />
=== Lähiverkon pääsynvalvonta - 802.1x ===<br />
<br />
Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.<br />
<br />
pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so<br />
<br />
# Example of EAP-TLS with smartcard (openssl engine)<br />
network={<br />
ssid="example.com"<br />
key_mgmt=WPA-EAP<br />
eap=TLS<br />
proto=RSN<br />
pairwise=CCMP TKIP<br />
group=CCMP TKIP<br />
identity="user@example.com"<br />
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"<br />
client_cert="/etc/pki/tls/certs/user.pem"<br />
<br />
engine=1<br />
<br />
# use the opensc engine<br />
#engine_id="opensc"<br />
#key_id="45"<br />
<br />
# use the pkcs11 engine<br />
engine_id="pkcs11"<br />
key_id="id_45"<br />
<br />
# Optional PIN configuration; this can be left out and PIN will be<br />
# asked through the control interface<br />
# pin="1234"<br />
}<br />
<br />
Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].<br />
<br />
=== Gnupg ohjelmistot ===<br />
<br />
Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:<br />
<br />
scdaemon-program /usr/bin/gnupg-pkcs11-scd<br />
pinentry-program /usr/bin/pinentry-qt<br />
<br />
ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:<br />
<br />
$ gpg2 -K<br />
<br />
listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.<br />
<br />
=== Kleopatra ===<br />
<br />
Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.<br />
<br />
== Jakelukohtaisia ohjeita ==<br />
<br />
{| class="wikitable" style="text-align:center" <br />
|+ominaisuusvertailu<br />
|-<br />
! ominaisuus / jakelu<br />
! Arch Linux<br />
! Fedora<br />
! Gentoo<br />
! OpenSuse<br />
! RHEL<br />
! Ubuntu<br />
|-<br />
| Kyseinen jakeluversio || || 14 || || || 5 ||<br />
|-<br />
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||<br />
|-<br />
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||<br />
|-<br />
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||<br />
|-<br />
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||<br />
|-<br />
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||<br />
|- <br />
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||<br />
|-<br />
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||<br />
|-<br />
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||<br />
|-<br />
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||<br />
|-<br />
|}<br />
<br />
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.<br />
<br />
===Arch Linux===<br />
<br />
* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''<br />
* Muuta palvelu pcscd automaattisesti käynnistyväksi:<br />
sudo systemctl enable pcsc<br />
* Käynnistä palvelu pcscd:<br />
systemctl start pcscd<br />
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code><br />
<br />
=== CentOS ===<br />
<br />
Fedoran ohjeet pitäisi käydä sellaisenaan.<br />
<br />
=== Fedora ===<br />
<br />
* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.<br />
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').<br />
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.<br />
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.<br />
* CA-avaimien paketti: '''ca-certificates'''<br />
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]<br />
* ssh-agent käynnistyy automaattisesti jos on asennettu.<br />
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code><br />
<br />
=== Gentoo ===<br />
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh<br />
<br />
=== OpenSuse ===<br />
<br />
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]<br />
<br />
=== RHEL (Red Hat Enterprise Linux) ===<br />
<br />
Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.<br />
<br />
Nyt voit jatkaa Fedoran ohjeilla.<br />
<br />
===Ubuntu===<br />
<br />
* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt><br />
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]<br />
<br />
== Katso myös ==<br />
<br />
* [[Mobiilivarmenne]]<br />
* [[Apache httpd]]<br />
* [[Firefox]]<br />
* [[Gnupg]] - GNU Privacy Guard<br />
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.<br />
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto<br />
* [[qDigiDoc]]<br />
* [[PAM]] - Pluggable Authentication Modules<br />
* [[SSH]] - Secure SHell<br />
* [[Thunderbird]]<br />
* [[VPN]] - Virtual Private Network<br />
* [[Wpa supplicant]]<br />
<br />
== Aiheesta muualla ==<br />
<br />
* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.<br />
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus<br />
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.<br />
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.<br />
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.<br />
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.<br />
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.<br />
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.<br />
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.<br />
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).<br />
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.<br />
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]<br />
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.<br />
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.<br />
<br />
[[Luokka:Laitteisto]]<br />
[[Luokka:Ohjeet]]<br />
[[Luokka:Tietoturva]]<br />
[[Luokka:Suomi]]</div>Tujuhttps://www.linux.fi/w/index.php?title=HST&diff=47934HST2017-12-10T15:48:50Z<p>Tuju: Linuxia ei tarvitse jankata, se on koko wikin aihe.</p>
<hr />
<div>Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.<br />
<br />
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.<br />
<br />
== Peruskäyttäjän tehtävälista ==<br />
<br />
Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:<br />
<br />
# Hanki henkilökortti. Sitä voi anoa<br />
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.<br />
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.<br />
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.<br />
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).<br />
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).<br />
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.<br />
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].<br />
<br />
'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi &ndash; oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.<br />
<br />
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.<br />
<br />
== Laitteet ==<br />
<br />
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.<br />
<br />
<div style="margin-left: auto; margin-right: auto;"><br />
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]<br />
</div><br />
<br />
Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.<br />
<br />
<br />
==== Nykyaikaiset lukijat ==== <br />
<br />
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. <br />
<br />
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:<br />
<br />
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).<br />
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]<br />
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat<br />
<br />
<br />
==== Vanhemmat lukijat ==== <br />
<br />
Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.<br />
<br />
Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.<br />
<br />
* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.<br />
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.<br />
<br />
<br />
Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.<br />
<br />
=== Towitoko ChipDrive ===<br />
<br />
[[Tiedosto:Towitoko.chipdrive.JPG]]<br />
<br />
Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.<br />
<br />
'''openct''':<br />
<br />
Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:<br />
#reader towitoko {<br />
# driver = towitoko;<br />
# device = serial:/dev/ttyS0;<br />
#};<br />
<br />
Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.<br />
<br />
'''pcscd''':<br />
<br />
?<br />
<br />
== Ohjelmistot ==<br />
<br />
=== Arkkitehtuuri ===<br />
<br />
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.<br />
<br />
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''. <br />
<br />
'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.<br />
<br />
'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.<br />
<br />
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:<br />
<br />
<br />
[[Tiedosto:openct.png]] &nbsp;&nbsp;&nbsp;&nbsp; [[Tiedosto:pcsc-lite.png]]<br />
<br />
<br />
===Ajurit ja middleware===<br />
<br />
Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:<br />
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot<br />
* Kaupallinen ''mPollux Digisign Client''<br />
<br />
====OpenSC====<br />
<br />
Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä <br />
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.<br />
<br />
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.<br />
<br />
==== mPollux Digisign Client ====<br />
<br />
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.<br />
<br />
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.<br />
<br />
===Sovellusohjelmien tuki===<br />
<br />
Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.<br />
<br />
==== Firefox ====<br />
<br />
Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.<br />
<br />
Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.<br />
<br />
==== Opera ====<br />
<br />
Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.<br />
<br />
==== PAM ====<br />
<br />
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.<br />
<br />
==== Ssh ====<br />
<br />
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.<br />
<br />
ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.<br />
<br />
Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.<br />
<br />
==== OpenOffice.org ====<br />
<br />
Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.<br />
<br />
==== qDigiDoc ====<br />
<br />
Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.<br />
<br />
==== Lähiverkon pääsynvalvonta - 802.1x ====<br />
<br />
IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin. <br />
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.<br />
<br />
<br />
==== Gnupg ohjelmat ====<br />
<br />
Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:<br />
<br />
* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)<br />
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.<br />
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.<br />
<br />
Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.<br />
<br />
==== KDE ja PKCS#11 ====<br />
<br />
KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.<br />
<br />
Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.<br />
<br />
Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.<br />
<br />
<br />
<br />
OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.<br />
<br />
=== Apuohjelmat ===<br />
<br />
Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.<br />
<br />
==== Korttipaikkojen listaus ====<br />
$ pkcs11-tool --module opensc-pkcs11.so -L<br />
Slot 8 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (perustunnusluku)<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
Slot 9 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (allekirjoitustunn<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
<br />
==== Varmenteiden listaus ====<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 00 00<br />
X.509 Certificate [todentamis- ja salausvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f004331<br />
ID : 45<br />
<br />
X.509 Certificate [allekirjoitusvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f0050164332<br />
ID : 46<br />
<br />
X.509 Certificate [VRK Gov. Root CA]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004334<br />
ID : 48<br />
<br />
X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004333<br />
ID : 47<br />
<br />
==== PIN koodin vaihto ====<br />
<br />
==== PUK koodin käyttö ====<br />
<br />
PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.<br />
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1<br />
Using reader with a card: OmniKey CardMan 1021 01 00<br />
Enter new PIN [PIN1]: ****<br />
Enter new PIN again [PIN1]: ****<br />
<br />
==== CA-varmenteiden lukeminen kortilta ====<br />
<br />
Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.<br />
<br />
Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:<br />
<br />
$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem<br />
<br />
Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.<br />
<br />
==== Yhteiskäyttö ja Opensc <= 0.11 ====<br />
<br />
Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.<br />
<br />
# By default, the OpenSC PKCS#11 module will lock your card<br />
# once you authenticate to the card via C_Login.<br />
# This is to prevent other users or other applications<br />
# from connecting to the card and perform crypto operations<br />
# (which may be possible because you have already authenticated<br />
# with the card).<br />
<br />
# Thus it is impossible to use several smart card aware<br />
# applications at the same time, e.g. you cannot run both<br />
# Firefox and Thunderbird at the same time, if both are<br />
# configured to use your smart card.<br />
#<br />
# Default: true<br />
lock_login = false;<br />
<br />
Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.<br />
<br />
<br />
==== Sovellusten jumiutumiset ====<br />
<br />
Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.<br />
<br />
Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:<br />
<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 01 00<br />
X.509 Certificate...<br />
<br />
Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.<br />
<br />
Joskus koko korttiin ei saada yhteyttä:<br />
<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 1021 00 00<br />
Failed to connect to card: Unknown error<br />
<br />
Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:<br />
<br />
# service pcscd restart<br />
Redirecting to /bin/systemctl restart pcscd.service<br />
<br />
Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.<br />
<br />
== Sovelluskohtaisia ohjeita ==<br />
<br />
Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.<br />
<br />
Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').<br />
<br />
<br />
=== Firefox ===<br />
<br />
Firefoxin varmennekortti-tuen tehtävälista:<br />
<br />
# Juurivarmenteen asentaminen (pakollinen)<br />
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)<br />
# Allekirjoitus-pluginin asentaminen<br />
<br />
==== Juurivarmenteen asentaminen ====<br />
<br />
Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.<br />
<br />
Valise kaikki:<br />
* ''Trust this CA to identify web sites''<br />
* ''Trust this CA to identify email users''<br />
* ''Trust this CA to identify software developers''<br />
<br />
Paina ''Ok''<br />
<br />
==== Korttituen lisääminen ====<br />
<br />
Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.<br />
<br />
Suomenkielisessä selaimessa:<br />
<br />
*valitse ''Muokkaa'' &rarr;'' Asetukset'' &rarr;'' Lisäasetukset'' &rarr; ''Salaus'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
Englanninkielisessä selaimessa:<br />
<br />
*valitse ''Edit'' &rarr; ''Preferences'' &rarr; ''Advanced'' &rarr; ''Encryption'' &rarr; ''Security Devices''<br />
*paina ''Load''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
<br />
==== pin2-koodin turha kysely ja onepin tausta ====<br />
<br />
Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].<br />
<br />
==== Error code: ssl_error_renegotiation_not_allowed ====<br />
<br />
Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.<br />
<br />
Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille &ndash; VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.<br />
<br />
<br />
===Thunderbird===<br />
<br />
*valitse ''Muokkaa'' &rarr; ''Asetukset'' &rarr; ''Lisäasetukset'' &rarr; ''Varmenteet'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt><br />
*edelleen lisäasetuksista valitse ''Näytä varmenteet''<br />
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''<br />
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"<br />
*valitse ''Muokkaa'' &rarr; ''Tilien asetukset''<br />
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne<br />
<br />
Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.<br />
<br />
=== qDigiDoc ===<br />
<br />
Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.<br />
<br />
=== Ssh ===<br />
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.<br />
<br />
'''Käyttö''':<br />
* Aseta kortti lukijaan ja lisää plugin:<br />
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code><br />
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:<br />
$ ssh-add -L<br />
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so<br />
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.<br />
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.<br />
<br />
<br />
'''Vianmääritys''':<br />
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.<br />
<br />
=== Lähiverkon pääsynvalvonta - 802.1x ===<br />
<br />
Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.<br />
<br />
pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so<br />
<br />
# Example of EAP-TLS with smartcard (openssl engine)<br />
network={<br />
ssid="example.com"<br />
key_mgmt=WPA-EAP<br />
eap=TLS<br />
proto=RSN<br />
pairwise=CCMP TKIP<br />
group=CCMP TKIP<br />
identity="user@example.com"<br />
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"<br />
client_cert="/etc/pki/tls/certs/user.pem"<br />
<br />
engine=1<br />
<br />
# use the opensc engine<br />
#engine_id="opensc"<br />
#key_id="45"<br />
<br />
# use the pkcs11 engine<br />
engine_id="pkcs11"<br />
key_id="id_45"<br />
<br />
# Optional PIN configuration; this can be left out and PIN will be<br />
# asked through the control interface<br />
# pin="1234"<br />
}<br />
<br />
Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].<br />
<br />
=== Gnupg ohjelmistot ===<br />
<br />
Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:<br />
<br />
scdaemon-program /usr/bin/gnupg-pkcs11-scd<br />
pinentry-program /usr/bin/pinentry-qt<br />
<br />
ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:<br />
<br />
$ gpg2 -K<br />
<br />
listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.<br />
<br />
=== Kleopatra ===<br />
<br />
Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.<br />
<br />
== Jakelukohtaisia ohjeita ==<br />
<br />
{| class="wikitable" style="text-align:center" <br />
|+ominaisuusvertailu<br />
|-<br />
! ominaisuus / jakelu<br />
! Arch Linux<br />
! Fedora<br />
! Gentoo<br />
! OpenSuse<br />
! RHEL<br />
! Ubuntu<br />
|-<br />
| Kyseinen jakeluversio || || 14 || || || 5 ||<br />
|-<br />
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||<br />
|-<br />
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||<br />
|-<br />
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||<br />
|-<br />
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||<br />
|-<br />
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||<br />
|- <br />
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||<br />
|-<br />
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||<br />
|-<br />
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||<br />
|-<br />
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||<br />
|-<br />
|}<br />
<br />
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.<br />
<br />
===Arch Linux===<br />
<br />
* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''<br />
* Muuta palvelu pcscd automaattisesti käynnistyväksi:<br />
sudo systemctl enable pcsc<br />
* Käynnistä palvelu pcscd:<br />
systemctl start pcscd<br />
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code><br />
<br />
=== CentOS ===<br />
<br />
Fedoran ohjeet pitäisi käydä sellaisenaan.<br />
<br />
=== Fedora ===<br />
<br />
* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.<br />
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').<br />
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.<br />
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.<br />
* CA-avaimien paketti: '''ca-certificates'''<br />
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]<br />
* ssh-agent käynnistyy automaattisesti jos on asennettu.<br />
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code><br />
<br />
=== Gentoo ===<br />
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh<br />
<br />
=== OpenSuse ===<br />
<br />
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]<br />
<br />
=== RHEL (Red Hat Enterprise Linux) ===<br />
<br />
Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.<br />
<br />
Nyt voit jatkaa Fedoran ohjeilla.<br />
<br />
===Ubuntu===<br />
<br />
* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt><br />
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]<br />
<br />
== Katso myös ==<br />
<br />
* [[Mobiilivarmenne]]<br />
* [[Apache httpd]]<br />
* [[Firefox]]<br />
* [[Gnupg]] - GNU Privacy Guard<br />
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.<br />
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto<br />
* [[qDigiDoc]]<br />
* [[PAM]] - Pluggable Authentication Modules<br />
* [[SSH]] - Secure SHell<br />
* [[Thunderbird]]<br />
* [[VPN]] - Virtual Private Network<br />
* [[Wpa supplicant]]<br />
<br />
== Aiheesta muualla ==<br />
<br />
* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.<br />
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus<br />
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.<br />
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.<br />
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.<br />
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.<br />
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.<br />
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.<br />
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.<br />
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).<br />
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.<br />
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]<br />
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.<br />
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.<br />
<br />
[[Luokka:Laitteisto]]<br />
[[Luokka:Ohjeet]]<br />
[[Luokka:Tietoturva]]<br />
[[Luokka:Suomi]]</div>Tujuhttps://www.linux.fi/w/index.php?title=HST&diff=47933HST2017-12-10T15:46:15Z<p>Tuju: Väärä käyttöjärjestelmä väärässä wikissä.</p>
<hr />
<div>Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.<br />
<br />
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan.<br />
<br />
== Peruskäyttäjän tehtävälista ==<br />
<br />
Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti:<br />
<br />
# Hanki henkilökortti. Sitä voi anoa<br />
#* paikalliselta poliisilta, toimitusaika kaksi vkoa.<br />
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen.<br />
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.<br />
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla).<br />
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat).<br />
# Käy tarvitsemasi sovellukset läpi ([[HST#Firefox_2|Firefox]] jne) ja konfiguroi ne.<br />
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua].<br />
<br />
'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi &ndash; oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan.<br />
<br />
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä.<br />
<br />
== Laitteet ==<br />
<br />
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä. Ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti. Hinnat vaihtelevat mallista ja ostopaikasta riippuen, nykyaikaisen USB-lukijan hinta vaihtelee kuuden ja 25 euron välillä.<br />
<br />
<div style="margin-left: auto; margin-right: auto;"><br />
[[Tiedosto:Cm 3021 190px.jpg]][[Tiedosto:CardMan4321 190px.jpg]]<br />
</div><br />
<br />
Lukijalaitteita on myös omalla fyysisellä näppäimistöllä varustettuna jota käytetään pin-koodien syöttämiseen. Tällöin koodeja käsitellään ainoastaan lukijassa eivätkä ne siten altistu mahdollisille tietokoneen haittaohjelmille.<br />
<br />
<br />
==== Nykyaikaiset lukijat ==== <br />
<br />
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. <br />
<br />
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:<br />
<br />
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, 4321 ym (4040 varauksella).<br />
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]<br />
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat<br />
<br />
<br />
==== Vanhemmat lukijat ==== <br />
<br />
Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.<br />
<br />
Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.<br />
<br />
* Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.<br />
* Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.<br />
<br />
<br />
Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.<br />
<br />
=== Towitoko ChipDrive ===<br />
<br />
[[Tiedosto:Towitoko.chipdrive.JPG]]<br />
<br />
Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.<br />
<br />
'''openct''':<br />
<br />
Poista <code>/etc/openct.conf</code> tiedostosta kommentointi seuraavan lohkon osalta:<br />
#reader towitoko {<br />
# driver = towitoko;<br />
# device = serial:/dev/ttyS0;<br />
#};<br />
<br />
Varmistu, että ''device'' osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.<br />
<br />
'''pcscd''':<br />
<br />
?<br />
<br />
== Ohjelmistot ==<br />
<br />
=== Arkkitehtuuri ===<br />
<br />
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.<br />
<br />
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''. <br />
<br />
'''PC/SC''' (Personal Computer/Smart Card) on alun perin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.<br />
<br />
'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt.<br />
<br />
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:<br />
<br />
<br />
[[Tiedosto:openct.png]] &nbsp;&nbsp;&nbsp;&nbsp; [[Tiedosto:pcsc-lite.png]]<br />
<br />
<br />
===Ajurit ja middleware===<br />
<br />
Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa:<br />
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot<br />
* Kaupallinen ''mPollux Digisign Client''<br />
<br />
====OpenSC====<br />
<br />
Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä <br />
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä.<br />
<br />
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista.<br />
<br />
==== mPollux Digisign Client ====<br />
<br />
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa.<br />
<br />
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla.<br />
<br />
===Sovellusohjelmien tuki===<br />
<br />
Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita.<br />
<br />
==== Firefox ====<br />
<br />
Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side varmennetta vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä varmenteella. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.<br />
<br />
Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella varmenteella. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.<br />
<br />
==== Opera ====<br />
<br />
Selain (versio 11.60) ei tue pkcs#11 moduleita eikä siten myös älykortteja.<br />
<br />
==== PAM ====<br />
<br />
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa.<br />
<br />
==== Ssh ====<br />
<br />
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia.<br />
<br />
ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.<br />
<br />
Korttia pystyy käyttämään OpenSSH:n komentoriviohjelmien (''ssh'', ''scp'', ''sftp'') lisäksi ohjelmien kanssa, jotka käyttävät ssh:ta siirtotienään. Esimerkki tällaisesta ohjelmistosta on versionhallintajärjestelmä ''git''.<br />
<br />
==== OpenOffice.org ====<br />
<br />
Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-varmenteella. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.<br />
<br />
==== qDigiDoc ====<br />
<br />
Graafinen työkalu DigiDoc-määrityksen mukaisten digitaalisten säiliöiden (''eng container'' ) luomiseen ja käsittelyyn. Varmenteella voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmasta voi lukea lisää sen omalta [[qDigiDoc]] sivulta.<br />
<br />
==== Lähiverkon pääsynvalvonta - 802.1x ====<br />
<br />
IEEE:n standardi [http://en.wikipedia.org/wiki/802.1x 802.1x] määrittelee langallisen ja langattoman lähiverkon pääsynvalvontamekanismeja. Tämä mahdollistaa tekniikkaan tukevan lähiverkkolaitteen asettamisen tunnistamaan liikennöijän jo OSI-tasolla 2 (lähiverkon rautaprotokolla) ja haluttaessa sallimaan tai estämään liikennöinnin. <br />
Käytettäessä [http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP-TLS EAP-TLS] (''Extensible Authentication Protocol - Transport Layer Security'') asetusta, verkkoon liittyjä tunnistetaan varmenteella joka voidaan lukea älykortilta ja pääsynvalvontatiedot saadaan verkon yli RADIUS-palvelulta. Wikipedian mukaan EAP-TLS ratkaisu on yksi turvallisimmista mahdollisista käytettäessä älykorttia.<br />
<br />
<br />
==== Gnupg ohjelmat ====<br />
<br />
Gnupg:ssä on älykorttituki, mutta se vaatii sille itselleen kirjoitetun sovelluksen kortilta (eikä Suomen henkilökortti ole tälläinen). Näitä kortteja on tällä tietämyksellä markkinoilla kaksi eri tyyppistä eikä niitä käytetä kansalaisvarmenteina, vaan avainparit luodaan korteille itse ja niiden merkitys on sen mukainen. Arkkitehtuuri on seuraava:<br />
<br />
* '''gpg-agent''' käynnistyy käyttäjän istuntoon taustalle ja viestii eri prosessien kanssa (vastaa ssh-agent palvelua)<br />
* '''scdaemon''' palvelu käynnistyy tarvittaessa gpg-agentin käynnistämänä ja käsittelee älykortteja pcscd-palvelun läpi.<br />
* '''gpg2''' ja '''gpgsm''' toimivat asiakasohjelmina joko suoraan tai muiden käyttöliittymien käynnistäminä.<br />
<br />
Käyttäjäyhteisö ja kehittäjät ovat keskustelleet aiheesta aika-ajoin, mutta kehittäjien näkökanta on määrännyt tilanteen eikä varsinaista muutosta tilanteeseen ole tullut vuosiin. Erimielisyyttä on yritetty kiertää korvaamalla scdaemon prosessi vastaavalla jossa on opensc-pkcs11 tuki. Korvaavan taustapalvelun nimi on '''gnupg-pkcs11-scd'''.<br />
<br />
==== KDE ja PKCS#11 ====<br />
<br />
KDE työpöytäympäristön tilanne kansallisten varmennekorttien käyttäjille ei ole hyvä. Työpöydän kehittäjät edustavat leiriä jossa RSA-Laboratorion PKCS määritykset nähdään vapaiden ohjelmistojen kilpailijoina ja niitä ei haluta tukea. KDE ympäristössä varmennetuki pohjautuu ainoastaan [[Gnupg]] ohjelmiston päälle rakennettuun '''Kleopatra''' varmennehallinta-sovellukseen ja yksittäisiin sovelluksiin joissa on Gnupg tuki. Kleopatralla voi jonkun verran hallita varmenteita ja se tunnistaa myös X.509 varmenteet joita voi siihen lisätä, mutta ohjelma ei suoraan tue opensc:n pkcs11-pluginia joka mahdollistaa X.509-tyyppisten varmenteiden käytön älykortilta.<br />
<br />
Gnupg-yhteensopivia sovelluksia ovat KMail sähköposti, Kaddressbook-osoitekirja ja Kgpg salaus ja allekirjoitustyökalu. Gnupg-ohjelmilla omat asetustiedostonsa joita Kleopatra muuttaa käynnistyessään yrittääkseen varmistaa toimivuuden.<br />
<br />
Henkilökortin käyttäjän näkökulmasta tilanne on sekava. Jos kortti on ylipäätään mahdollista saada toimimaan KDE-ohjelmissa, sen asettelu on lievästi sanottuna vaikeaa.<br />
<br />
<br />
<br />
OpenSC-sivustolla on [http://www.opensc-project.org/opensc/wiki/ApplicationSupport pitkä lista] erillaisista ohjelmistojen tuesta varmenteille.<br />
<br />
=== Apuohjelmat ===<br />
<br />
Tähän osioon on kerätty ohjelmat, joita ei normaalissa kortin käytössä tarvita, mutta voivat olla hyödyksi vianetsinnässä, PIN-koodien vaihdossa ja yleisen mielenkiinnon vuoksi. Ohjelmat pkcs11-tool ja pkcs15-tool löytyvät OpenSC-paketista.<br />
<br />
==== Korttipaikkojen listaus ====<br />
$ pkcs11-tool --module opensc-pkcs11.so -L<br />
Slot 8 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (perustunnusluku)<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
Slot 9 OmniKey CardMan 3121 00 00<br />
token label: HENKILOKORTTI (allekirjoitustunn<br />
token manuf: VRK-FINEID<br />
token model: PKCS#15<br />
token flags: login required, PIN initialized, token initialized<br />
serial num : 4600015034197296<br />
<br />
==== Varmenteiden listaus ====<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 00 00<br />
X.509 Certificate [todentamis- ja salausvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f004331<br />
ID : 45<br />
<br />
X.509 Certificate [allekirjoitusvarmenne]<br />
Flags : 0<br />
Authority: no<br />
Path : 3f0050164332<br />
ID : 46<br />
<br />
X.509 Certificate [VRK Gov. Root CA]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004334<br />
ID : 48<br />
<br />
X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]<br />
Flags : 0<br />
Authority: yes<br />
Path : 3f004333<br />
ID : 47<br />
<br />
==== PIN koodin vaihto ====<br />
<br />
==== PUK koodin käyttö ====<br />
<br />
PUK (''pin unblock key'') koodia tarvitaan jos kortti menee jumiin esimerkiksi liian monesta epäonnistuneesta varmenteen käyttöyrityksestä. Koodin voi antaa joko komentorivioptiona (selkeämpi kirjoittaa) tai syöttää sen interaktiivisesti. Vivulla '''-a''' määritellään mitä pin-koodia ollaan vaihtamassa, numero yksi tarkoittaa ensimmäistä koodia.<br />
$ pkcs15-tool --unblock-pin --puk 12345678 -a 1<br />
Using reader with a card: OmniKey CardMan 1021 01 00<br />
Enter new PIN [PIN1]: ****<br />
Enter new PIN again [PIN1]: ****<br />
<br />
==== CA-varmenteiden lukeminen kortilta ====<br />
<br />
Henkilökortilla on Väestörekisterikeskuksen juuri- ja kansalais- eli ns CA-varmenteet. CA-varmennetta tarvittaessa, järkevintä on ottaa se henkilökortilta eikä ladata verkosta jotta ei altistu teoreettiselle ns [http://fi.wikipedia.org/wiki/Man-in-the-middle_attack ''man-in-the-middle''] hyökkäykselle. Valtaosa on saanut korttinsa suoraan poliisilta jolloin voidaan olla suhteellisen varmoja, ettei varmennetta tai korttia ole väärennetty. Jos sovellus ei tue varmenteiden ketjutusta, tulee käyttää sitä CA-varmennetta jolla itse osapuolen varmenne on allekirjoitettu. Muussa tapauksessa juurivarmenne riittää.<br />
<br />
Varmenteen saa kopioitua kortilta tiedostoon käyttäen '''-r''' vipua ja varmenteen ''id-numeroa''. Yhdistettynä nämä yhdeksi komennoksi:<br />
<br />
$ pkcs15-tool -r $(pkcs15-tool -c|grep -A4 "Root"|grep ID|cut -d: -f2) > vrkrootca.pem<br />
<br />
Yllä itse varmenne luetaan kortilta ja tulos ohjataan tiedostoon. Tiedostoa voi käyttää sellaisenaan esim WWW-selaimessa tai Apache-httpd palvelimessa.<br />
<br />
==== Yhteiskäyttö ja Opensc <= 0.11 ====<br />
<br />
Jotkin sovellukset vaativat kortin yhtäaikaista käyttöä (esim https tunnistus ja pin2 allekirjoitus sen yhteyden aikana). Tämä saattaa olla oletuksen estetty <code>/etc/opensc.conf</code> tiedostossa '''lock_login''' asetuksella, rivi joka on opensc-0.11 ja varhaisemmissa kommentoitu pois kokonaan, siten oletuksena '''true''' tilassa. Poistamalla kommentin ja jättämällä '''false''' arvon, lukitus estyy ja useat yhtäaikaiset sovellukset toimivat.<br />
<br />
# By default, the OpenSC PKCS#11 module will lock your card<br />
# once you authenticate to the card via C_Login.<br />
# This is to prevent other users or other applications<br />
# from connecting to the card and perform crypto operations<br />
# (which may be possible because you have already authenticated<br />
# with the card).<br />
<br />
# Thus it is impossible to use several smart card aware<br />
# applications at the same time, e.g. you cannot run both<br />
# Firefox and Thunderbird at the same time, if both are<br />
# configured to use your smart card.<br />
#<br />
# Default: true<br />
lock_login = false;<br />
<br />
Opensc >= 0.12 asetus on pois päältä oletuksena ja käyttäjän toimenpiteitä ei tarvita. Asetustiedostossa on asiaa selitetty runsaammin englanniksi jos sen taustat kiinnostavat.<br />
<br />
<br />
==== Sovellusten jumiutumiset ====<br />
<br />
Varmenteita käyttävät ohjelmat ikävä kyllä jumittavat usein. Tällöin voi kokeilla kortin irroittamista lukijasta ja se usein vapauttaa jumitumisen ja jämähtänyttä toimintoa voi kokeilla heti uudelleen kortin lukijaan palauttamisen jälkeen.<br />
<br />
Toisinaan varmenteen luku ei tunnu onnistuvan ollenkaan ja silloin kannttaa kokeilla ''lypsämistä'' antamalla seuraava komento monta kertaa peräjälkeen kunnes se onnistuu:<br />
<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
PKCS#15 binding failed: Wrong length<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 3121 01 00<br />
X.509 Certificate...<br />
<br />
Komento tulee antaa samana käyttäjänä minä on istuntoon kirjautunut. Ongelma on kehittäjien tiedossa.<br />
<br />
Joskus koko korttiin ei saada yhteyttä:<br />
<br />
$ pkcs15-tool -c<br />
Using reader with a card: OmniKey CardMan 1021 00 00<br />
Failed to connect to card: Unknown error<br />
<br />
Jos käytössä on pcscd, sen uudelleenkäynnistäminen auttaa:<br />
<br />
# service pcscd restart<br />
Redirecting to /bin/systemctl restart pcscd.service<br />
<br />
Tämän jälkeen tilanne on normali jälleen. Sovellukset kuten WWW-selain tulee käynnistää uudelleen koska sen yhteydet pcscd:hen ovat katkenneet eivätkä ne osaa muodostaa niitä itse uudelleen.<br />
<br />
== Sovelluskohtaisia ohjeita ==<br />
<br />
Jos käyttöön liittyy vastapuolen varmenne joka on Väestörekisterkeskuksen allekirjoittama, niin luotettavuuden todentaminen tapahtuu VRK:n CA-varmennetta vasten joka tulee olla asennettuna. Tapahtuma voi olla esimerkiksi allekirjoitettu tai salattu sähköpostiviesti tai myös WWW-palvelin joka käyttää VRK:n allekirjoittamaa palvelinvarmennetta.<br />
<br />
Varmenenteen voi kopioida kortilta suoraan kuten kohdasssa [[HST#CA-varmenteiden_lukeminen_kortilta|CA-varmenteiden lukeminen kortilta]] ohjeistetaan tai ladata se verkosta tietokoneelle VRK:n [http://fineid.fi/default.aspx?docid=2237&site=9&id=332 CA-varmenne sivulta]. Useimmissa tapauksissa ns juurivarmenne riittää (''eng Root CA'').<br />
<br />
<br />
=== Firefox ===<br />
<br />
Firefoxin varmennekortti-tuen tehtävälista:<br />
<br />
# Juurivarmenteen asentaminen (pakollinen)<br />
# Ulkoisen korttituen lisääminen (yleisimmin tarvittava)<br />
# Allekirjoitus-pluginin asentaminen<br />
<br />
==== Juurivarmenteen asentaminen ====<br />
<br />
Avaa PEM-muotoinen X.509 varmennetiedosto ''File -> Open'' ja etsi kyseinen tiedosto, paina ''Open'' tai klikkaa varmenteen linkkiä VRK:n sivulla.<br />
<br />
Valise kaikki:<br />
* ''Trust this CA to identify web sites''<br />
* ''Trust this CA to identify email users''<br />
* ''Trust this CA to identify software developers''<br />
<br />
Paina ''Ok''<br />
<br />
==== Korttituen lisääminen ====<br />
<br />
Varmennekortin tuki lisätään turva-asetuksista lisäämällä sinne '''onepin-opensc-pkcs11''' plugin. Tämä sellaisenaan mahdollistaa varmenteiden käytön asiakaspään tunnistamisessa SSL-yhteyksillä. Erilliset pluginit jotka käyttävät varmennekorttia, tarvitsevat myöskin tätä asetusta.<br />
<br />
Suomenkielisessä selaimessa:<br />
<br />
*valitse ''Muokkaa'' &rarr;'' Asetukset'' &rarr;'' Lisäasetukset'' &rarr; ''Salaus'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
Englanninkielisessä selaimessa:<br />
<br />
*valitse ''Edit'' &rarr; ''Preferences'' &rarr; ''Advanced'' &rarr; ''Encryption'' &rarr; ''Security Devices''<br />
*paina ''Load''<br />
*lisää: <tt>/usr/lib/onepin-opensc-pkcs11.so</tt><br />
<br />
<br />
==== pin2-koodin turha kysely ja onepin tausta ====<br />
<br />
Firefoxissa on ''ominaisuus'' joka pistää sen kysymään joka käyttökerta molempia pin-koodeja. Tämän ratkaisusta oli näkemyseroja joka johti pattitilanteeseen ja OpenSC-projekti päätyi kiertämään selaimen kehittäjien jääräpäisyyden tekemällä häkkäyksen itse pluginiin ja oman versionsa siitä jota kutsutaan '''onepin-opensc-pkcs11''' pluginiksi. Aiheesta enemmän projektin postilistan [http://www.opensc-project.org/pipermail/opensc-devel/2007-June/010031.html viestissä].<br />
<br />
==== Error code: ssl_error_renegotiation_not_allowed ====<br />
<br />
Uudemmat Firefox-versiot (versiosta 4) vaativat joidenkin palveluiden kohdalla selaimen lisäasetuksen. Tämä johtuu vuonna 2009 löydetystä [https://wiki.mozilla.org/Security:Renegotiation suunnitteluvirheestä TLS-protokollassa], joka mahdollistaa ns. mies välissä -hyökkäyksen. Firefox yrittää suojautua tätä haavoittuvuutta vastaan kieltämällä TLS-protokollan uusintakättelyn. Tätä ei ole otettu huomioon (tätä kirjoitettaessa 5/2011) muun muasssa niissä palveluissa, jotka käyttävät ns. VETUMA-palvelua (Verkkotunnistautuminen ja maksaminen) käyttäjän tunnistamiseen.<br />
<br />
Kunnes tämä ongelma on ratkaistu palvelinpuolella, ongelman pystyy kiertämään sallimalla Firefoxissa TLS-protokollan kaksoiskättelyn haluamilleen osoitteille &ndash; VETUMA-palvelun tapauksessa osoite on ''tunnistus.suomi.fi''. Asetukset saa näkyville Firefoxissa kirjoittamalla osoitekenttään about:config. Etsi listasta kenttä <code>security.ssl.renego_unrestricted_hosts</code> ja anna sille arvoksi esimerkiksi <code>tunnistus.suomi.fi,tyvi.elma.fi</code>. Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. Huomaa, että asetuksessa tulee olla itse kohde palvelin, ei pelkkä domain.<br />
<br />
<br />
===Thunderbird===<br />
<br />
*valitse ''Muokkaa'' &rarr; ''Asetukset'' &rarr; ''Lisäasetukset'' &rarr; ''Varmenteet'' &rarr; ''Turvallisuuslaitteet''<br />
*paina ''Lataa''<br />
*lisää: <tt>/usr/lib/opensc-pkcs11.so</tt><br />
*edelleen lisäasetuksista valitse ''Näytä varmenteet''<br />
*valitse ''Varmentajat''-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat ''Varmenteet'' ja ''Muokkaa''<br />
*lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"<br />
*valitse ''Muokkaa'' &rarr; ''Tilien asetukset''<br />
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne<br />
<br />
Thunderbirdin ja Firefoxin voi saada käyttämään samaa varmennetietokantaa. Miten tämä tapahtuu on selitetty [https://wiki.mozilla.org/NSS_Shared_DB_Howto Mozillan Wiki-sivulla]. Yhteisen tietokannan etuna on se, että varmenteen saa tuotua tietokantaan yhdella klikkauksella Firefoxissa (esimerkiksi [http://vrk.fineid.fi/certsearchB.asp?todo=setlang&lang=fi VRK:n varmennehakusivulta]), jonka jälkeen varmenne on automaattisesti käytettävissä myös Thunderbirdissä.<br />
<br />
=== qDigiDoc ===<br />
<br />
Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta.<br />
<br />
=== Ssh ===<br />
Jotta linuxiin voi ottaa SSH-yhteyden älykortilla, täytyy älykortilla oleva julkinen avain tallentaa /home/<user>/.ssh hakemiston authorized_keys tiedostoon [https://linux.fi/wiki/OpenSSH OpenSSH]-formaatissa.<br />
Ohjeet siihen miten julkinen avain muutetaan OpenSSH-formaattiin löytyy [https://joscor.com/blog/convert-windows-public-certificate-cer-to-openssh-public-key/ täältä].<br />
<br />
==== Linux ====<br />
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin.<br />
<br />
'''Käyttö''':<br />
* Aseta kortti lukijaan ja lisää plugin:<br />
<code>$ ssh-add -s /usr/lib/opensc-pkcs11.so</code><br />
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:<br />
$ ssh-add -L<br />
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so<br />
* Jos tätä varmennetta ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.<br />
* Nyt ssh-ohjelmat toimivat normaalisti kortin varmenteilla.<br />
<br />
<br />
'''Vianmääritys''':<br />
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.<br />
<br />
=== Lähiverkon pääsynvalvonta - 802.1x ===<br />
<br />
Asetukset määritellään ''wpa_supplicant'' asetustiedostoihin, joka toisissa jakeluissa sijaita esimerkiksi <code>/etc/wpa_supplicant/wpa_supplicant.conf</code> tiedostossa.<br />
<br />
pkcs11_module_path=/usr/lib/pkcs11/opensc-pkcs11.so<br />
<br />
# Example of EAP-TLS with smartcard (openssl engine)<br />
network={<br />
ssid="example.com"<br />
key_mgmt=WPA-EAP<br />
eap=TLS<br />
proto=RSN<br />
pairwise=CCMP TKIP<br />
group=CCMP TKIP<br />
identity="user@example.com"<br />
ca_cert="/etc/pki/tls/certs/vrkrootca.pem"<br />
client_cert="/etc/pki/tls/certs/user.pem"<br />
<br />
engine=1<br />
<br />
# use the opensc engine<br />
#engine_id="opensc"<br />
#key_id="45"<br />
<br />
# use the pkcs11 engine<br />
engine_id="pkcs11"<br />
key_id="id_45"<br />
<br />
# Optional PIN configuration; this can be left out and PIN will be<br />
# asked through the control interface<br />
# pin="1234"<br />
}<br />
<br />
Asetusohje on peräisin [http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=wpa_supplicant/wpa_supplicant.conf esimerkistä].<br />
<br />
=== Gnupg ohjelmistot ===<br />
<br />
Gnupg:n eri komponenttien asetuksia muutetaan käyttäjän kotihakemiston <code>.gnupg/</code> hakemistossa. Henkilökorttituen lisääminen edellyttää '''scdaemon'''-palvelun korvaamista '''gpg-agent.conf''' tiedostossa:<br />
<br />
scdaemon-program /usr/bin/gnupg-pkcs11-scd<br />
pinentry-program /usr/bin/pinentry-qt<br />
<br />
ja kyseisten palveluiden uudelleenkäynnistämistä. Jos korttituki toimii, komento:<br />
<br />
$ gpg2 -K<br />
<br />
listaa varmenteet jossa on mukana älykortin varmenne. Jos ei, asetukset kaipaavat lisää säätämistä joita on ohjeistettu omalla [[gnupg-pkcs11-scd]] sivulla.<br />
<br />
=== Kleopatra ===<br />
<br />
Kleopatra osaa muuttaa tarvitsemiaan Gnupg:n asetuksia tiedostoista: '''options''', '''gpg-agent.conf''', '''gpgsm.conf''' ja '''scdaemon.conf'''. Viimeeksi mainitulla ei ole merkitystä jos käytetään korvaavaa palvelua ja sen asetustiedostoa '''gnupg-pkcs11-scd.conf'''.<br />
<br />
== Jakelukohtaisia ohjeita ==<br />
<br />
{| class="wikitable" style="text-align:center" <br />
|+ominaisuusvertailu<br />
|-<br />
! ominaisuus / jakelu<br />
! Arch Linux<br />
! Fedora<br />
! Gentoo<br />
! OpenSuse<br />
! RHEL<br />
! Ubuntu<br />
|-<br />
| Kyseinen jakeluversio || || 14 || || || 5 ||<br />
|-<br />
| Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc ||<br />
|-<br />
| OpenSC versio || 0.16.0-5 || 0.11 || || || ||<br />
|-<br />
| Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä ||<br />
|-<br />
| Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä ||<br />
|-<br />
| Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei ||<br />
|- <br />
| ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä ||<br />
|-<br />
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä ||<br />
|-<br />
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän ||<br />
|-<br />
| Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei ||<br />
|-<br />
|}<br />
<br />
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää.<br />
<br />
===Arch Linux===<br />
<br />
* Asenna paketit '''ccid''', '''pcsclite''', '''opensc'''<br />
* Muuta palvelu pcscd automaattisesti käynnistyväksi:<br />
sudo systemctl enable pcsc<br />
* Käynnistä palvelu pcscd:<br />
systemctl start pcscd<br />
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code><br />
<br />
=== CentOS ===<br />
<br />
Fedoran ohjeet pitäisi käydä sellaisenaan.<br />
<br />
=== Fedora ===<br />
<br />
* Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.<br />
* Vaaditut paketit: '''opensc''', '''pcsc-lite''' (tai '''openct''').<br />
* Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.<br />
* Sovelluspaketit: '''firefox''', '''thunderbird''', '''openssh-clients''', '''qdigidoc''', '''mozilla-esteid''' (digiallekirjoitus), '''kdepim''' (kleopatra), '''pam_pkcs11'''.<br />
* CA-avaimien paketti: '''ca-certificates'''<br />
* Pakettienhallintatyökalu: [[Yum]] ja [[PackageKit]]<br />
* ssh-agent käynnistyy automaattisesti jos on asennettu.<br />
* onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko: <code>/usr/lib/onepin-opensc-pkcs11.so</code> tai <code>/usr/lib64/onepin-opensc-pkcs11.so</code><br />
<br />
=== Gentoo ===<br />
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh<br />
<br />
=== OpenSuse ===<br />
<br />
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]]<br />
<br />
=== RHEL (Red Hat Enterprise Linux) ===<br />
<br />
Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön.<br />
<br />
Nyt voit jatkaa Fedoran ohjeilla.<br />
<br />
===Ubuntu===<br />
<br />
* Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt><br />
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]]<br />
<br />
== Katso myös ==<br />
<br />
* [[Mobiilivarmenne]]<br />
* [[Apache httpd]]<br />
* [[Firefox]]<br />
* [[Gnupg]] - GNU Privacy Guard<br />
* [[gnupg-pkcs11-scd]] - pkcs11 plugin Gnupg ohjelmistoon.<br />
* [[Openoffice]] - OpenOffice.org toimisto-ohjelmisto<br />
* [[qDigiDoc]]<br />
* [[PAM]] - Pluggable Authentication Modules<br />
* [[SSH]] - Secure SHell<br />
* [[Thunderbird]]<br />
* [[VPN]] - Virtual Private Network<br />
* [[Wpa supplicant]]<br />
<br />
== Aiheesta muualla ==<br />
<br />
* [http://fineid.fi/ http://fineid.fi] - Suomalaisen henkilökortin kotisivu.<br />
* [http://www.vaestorekisterikeskus.fi/ http://www.vaestorekisterikeskus.fi/] - Väestörekisterikeskus<br />
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa.<br />
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa.<br />
* [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu.<br />
* [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu.<br />
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi.<br />
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys.<br />
* [http://code.google.com/p/esteid/ http://code.google.com/p/esteid/]- Viron henkilökortin ohjelmistokehitys.<br />
* [http://id.ee/ http://id.ee/] - Viron henkilökortin ohjesivusto (est, eng, rus).<br />
* [https://bugs.kde.org/show_bug.cgi?id=116201 kde.org - bug 116201] - Keskustelua KDE:n pkcs#11 tuesta.<br />
* [https://www.bugzilla.mozilla.org/show_bug.cgi?id=511652 mozilla.org - Add a GUI option to toggle the "Friendly certs" option of NSS]<br />
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava.<br />
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava.<br />
<br />
[[Luokka:Laitteisto]]<br />
[[Luokka:Ohjeet]]<br />
[[Luokka:Tietoturva]]<br />
[[Luokka:Suomi]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Victron_Energy&diff=47799Victron Energy2017-09-12T10:57:43Z<p>Tuju: Ak: Uusi sivu: {{Yritys | nimi=Victron Energy | logo= | logoteksti= | perustettu= | toimiala=energiatekniikka | alkuperämaa=Alankomaat | kotipaikka= | kotisivu=[https://www.victronenergy.com vic...</p>
<hr />
<div>{{Yritys<br />
| nimi=Victron Energy<br />
| logo=<br />
| logoteksti=<br />
| perustettu=<br />
| toimiala=energiatekniikka<br />
| alkuperämaa=Alankomaat<br />
| kotipaikka=<br />
| kotisivu=[https://www.victronenergy.com victronenergy.com] <br />
| avoinkoodi=[https://www.victronenergy.com/live/open_source:start victronenergy.com]<br />
}}</div>Tujuhttps://www.linux.fi/w/index.php?title=Adobe_Systems&diff=47778Adobe Systems2017-08-31T11:05:05Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Adobe Systems Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1982<br />
| toimiala=tietokone ohjelmistot<br />
| alkuperämaa=California, U.S.<br />
| kotipaikka=Mountain View, California, U.S.<br />
| kotisivu=[http://adobe.com adobe.com]<br />
| avoinkoodi=[http://www.adobe.com/open-source.html adobe.com/opensource] [http://adobe.github.io/ adobe.github.io]<br />
}}<br />
<br />
'''Adobe Systems Inc'''. on mm. [[PDF]]-ohjelma [[Acrobat Reader]]in, [[kuvankäsittely]]ohjelma [[Photoshop]]in ja vektorigrafiikkaohjelma [[Illustrator]]in julkaisija. <br />
<br />
Osa Adoben ohjelmista on saatavilla myös Linuxille, osalle RPM pakettihallintaa käyttäville jakeluille on olemassa yrityksen tarjoamat pakettivarastot, osa löytyy julkisesta FTP-palvelusta josta löytyy pelkkiä asennettavia binääriarkistoja:<br />
* ftp://ftp.adobe.com/pub/adobe/<br />
<br />
==Katso myös==<br />
* [[Adobe Systems/Pakettivarasto]]<br />
* Adobe [[Acrobat Reader]]<br />
* [[Adobe Flash]]<br />
* [[Adobe Air 2]]<br />
<br />
==Aiheesta muualla==<br />
*[http://www.adobe.com/fi/ Adoben kotisivu]<br />
*[http://archimerged.wordpress.com/2007/07/13/adobe-now-offers-a-yum-repository-for-automatic-upgrades/ Adoben pakettivarasto]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Acrobat_Reader&diff=47777Acrobat Reader2017-08-31T10:55:55Z<p>Tuju: </p>
<hr />
<div>{{Ohjelma<br />
| nimi=Adobe Reader <br />
| kuva= <br />
| kuvateksti= <br />
| käyttöliittymä=[[?]]<br />
| lisenssi=suljettu <br />
| kotisivu=[http://www.adobe.com/products/acrobat/readstep2.html adobe.com] <br />
}}<br />
<br />
'''Adobe Reader''' (''acroreader'') on [[Adobe|Adoben]] suljettu ohjelma [[PDF]]-tiedostojen katseluun. Se on saatavissa Linuxin lisäksi useille eri alustoille ja onkin yleisin PDF-ohjelma.<br />
<br />
Ohjelma on joskus ollut saatavilla Adoben pakettivarastoista, mutta sen voi myös asentaa käsin lataamalla asennustiedoston:<br />
* ftp://ftp.adobe.com/pub/adobe/reader/<br />
<br />
==Katso myös==<br />
*[[Evince]]<br />
*[[kpdf]]<br />
*[[xpdf]]<br />
* [[Okular]]<br />
<br />
[[Luokka:PDF-ohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Adobe_Systems/Pakettivarasto&diff=47776Adobe Systems/Pakettivarasto2017-08-31T10:51:46Z<p>Tuju: </p>
<hr />
<div>'''Adoben pakettivarasto''' tarjoaa joitain Linuxille tarjolla olevia ohjelmiaan oman [[epäviralliset pakettivarastot|epävirallisen]] [[pakettivarasto]]nsa välityksellä [[Fedora]]-jakelulle. <br />
<br />
{{epävirallinen pakettilähde}}<br />
<br />
<br />
[[Adobe]]n pakettivarasto '''adobe-linux-x86_64''' otetaan käyttöön lataamalla ja asentamalla asetustiedostot sisältävä paketti komennolla<br />
# rpm -ivh http://linuxdownload.adobe.com/linux/i386/adobe-release-i386-1.0-1.noarch.rpm<br />
<br />
Pakettivaraston paketit saa listattua komennolla:<br />
# dnf repository-packages adobe-linux-x86_64 list --all<br />
<br />
[[Luokka:Fedora]]<br />
[[Luokka:Pakettivarastot]]<br />
[[Luokka:Paketinhallinta]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Adobe_Systems&diff=47775Adobe Systems2017-08-31T10:37:23Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Adobe Systems Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1982<br />
| toimiala=tietokone ohjelmistot<br />
| alkuperämaa=California, U.S.<br />
| kotipaikka=Mountain View, California, U.S.<br />
| kotisivu=[http://adobe.com adobe.com]<br />
| avoinkoodi=[http://www.adobe.com/open-source.html adobe.com/opensource] [http://adobe.github.io/ adobe.github.io]<br />
}}<br />
<br />
'''Adobe Systems Inc'''. on mm. [[PDF]]-ohjelma [[Acrobat Reader]]in, [[kuvankäsittely]]ohjelma [[Photoshop]]in ja vektorigrafiikkaohjelma [[Illustrator]]in julkaisija. Osa Adoben ohjelmista on saatavilla myös Linuxille, osalle RPM pakettihallintaa käyttäville jakeluille on olemassa yrityksen tarjoamat pakettivarastot.<br />
<br />
==Katso myös==<br />
* [[Adobe Systems/Pakettivarasto]]<br />
* Adobe [[Acrobat Reader]]<br />
* [[Adobe Flash]]<br />
* [[Adobe Air 2]]<br />
<br />
==Aiheesta muualla==<br />
*[http://www.adobe.com/fi/ Adoben kotisivu]<br />
*[http://archimerged.wordpress.com/2007/07/13/adobe-now-offers-a-yum-repository-for-automatic-upgrades/ Adoben pakettivarasto]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Adobe_Systems&diff=47774Adobe Systems2017-08-31T10:36:42Z<p>Tuju: </p>
<hr />
<div>{{Yritys<br />
| nimi=Adobe Systems Inc.<br />
| logo=<br />
| logoteksti=<br />
| perustettu=1982<br />
| toimiala=tietokone ohjelmistot<br />
| alkuperämaa=California, U.S.<br />
| kotipaikka=Mountain View, California, U.S.<br />
| kotisivu=[http://adobe.com adobe.com]<br />
| avoinkoodi=[http://www.adobe.com/open-source.html adobe.com/opensource] [http://adobe.github.io/ adobe.github.io]<br />
}}<br />
<br />
'''Adobe Systems Inc'''. on mm. [[PDF]]-ohjelma [[Adobe Acrobat]]in, [[kuvankäsittely]]ohjelma [[Photoshop]]in ja vektorigrafiikkaohjelma [[Illustrator]]in julkaisija. Osa Adoben ohjelmista on saatavilla myös Linuxille, osalle RPM pakettihallintaa käyttäville jakeluille on olemassa yrityksen tarjoamat pakettivarastot.<br />
<br />
==Katso myös==<br />
* [[Adobe Systems/Pakettivarasto]]<br />
* Adobe [[Acrobat Reader]]<br />
* [[Adobe Flash]]<br />
* [[Adobe Air 2]]<br />
<br />
==Aiheesta muualla==<br />
*[http://www.adobe.com/fi/ Adoben kotisivu]<br />
*[http://archimerged.wordpress.com/2007/07/13/adobe-now-offers-a-yum-repository-for-automatic-upgrades/ Adoben pakettivarasto]<br />
<br />
[[Luokka:Yritykset]]</div>Tujuhttps://www.linux.fi/w/index.php?title=S%C3%A4hk%C3%B6inen_kirja&diff=47773Sähköinen kirja2017-08-31T10:35:40Z<p>Tuju: </p>
<hr />
<div>[[wikipedia:fi:E-kirja|Sähköinen kirja]] (e-kirja) on sähköisessä muodossa oleva kirjallinen teos. E-kirjojen lukemiseen on saatavilla erillisiä lukulaitteita ja -ohjelmia. Tässä artikkelissa on esitelty joitakin Linuxille tarjolla olevia vaihtoehtoja.<br />
<br />
==PDF==<br />
[[PDF]]-tiedostojen lukemiseen ja muuhun käsittelyyn tarkoitettuja ohjelmia löytyy luokasta [[:Luokka:PDF-ohjelmat|PDF-ohjelmat]]. Kaikki PDF-lukijat eivät välttämättä tue e-kirjoissa usein käytettyjä suojauksia. <br />
<br />
Suljettuja vaihtoehtoja:<br />
* [[Adobe]]n [[Acrobat Reader]] on suljettu ja yleisin PDF-lukija.<br />
* [http://www.foxitsoftware.com/pdf/desklinux/ Foxit reader] kaupallinen ja ilmainen PDF-lukija.<br />
<br />
==E-kirjalukijoita==<br />
* [[FBReader]] on E-kirjalukija. Tuettuja tiedostomuotoja ovat mm. [[wikipedia:en:EPUB|ePub]], [[wikipedia:en:FictionBook|FictionBook]], [[wikipedia:en:Plucker|plucker]], PalmDoc, zTxt, [[wikipedia:en:TCR|TCR]], [[wikipedia:en:Open_eBook|OEB]] ja [[wikipedia:en:Mobipocket|mobipocket]].<br />
* [http://www.infogridpacific.com/igp/AZARDI/eScape%20-ODT2ePub/ eScape - ePub Creatorin] avulla voi luoda ePub-tiedostoja [[wikipedia:fi:OpenDocument|ODF]]-dokumenteista.<br />
* [[Calibre]] on e-kirjalukija ja kirjakokoelman hallintaohjelma.<br />
<br />
==E-kirjalukijoiden lähdekoodeja==<br />
* [http://www.amazon.com/gp/help/customer/display.html?nodeId=200203720 Kindle]<br />
* [http://www.hp.com/hpinfo/newsroom/press/2011/111209xa.html webOS]<br />
<br />
==Aiheesta muualla==<br />
* [http://www.linuxdevices.com/news/NS8442724020.html Linux-pohjaisia lukulaitteita]<br />
* [http://www.gutenberg.org/browse/languages/fi Project Gutenberg] - Suomenkielistä tekijänoikeuksista jo vapautunutta kirjallisuutta.<br />
* [http://librivox.org/ Librifoxista] löytyy tekijänoikeuksista vapaita äänikirjoja.<br />
<br />
[[Luokka:E-kirjalukijat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=KDE_3_tutuksi&diff=47772KDE 3 tutuksi2017-08-31T10:34:09Z<p>Tuju: /* KPDF */</p>
<hr />
<div>[[Kuva:Kde_logo.png|right]]<br />
[[Kuva:Kde-3.5.6.png|400px|right|thumb|KDE 3.5.6 -työpöytä oletusasetuksilla.]]<br />
Tämä ohje on tehty KDE:n versiosarjaa 3 silmälläpitäen. Uudempien KDE4-sarjan versioiden käyttöliittymä poikkeaa melko paljon tässä esitellystä.<br />
<br />
[[KDE]] on suosittu ja monipuolinen [[työpöytäympäristö]] Linuxille ja muille [[Unix]]eille. Se on varsin helppokäyttöinen, nopeasti opittava ja ohjeita lukuun ottamatta lähes kokonaan suomennettu. Tämän pikaoppaan turvin pitäisi päästä alkuun KDE:n käytössä [[jakelu]]paketista riippumatta, vaikkakin pieniä jakelukohtaisia eroja saattaa esiintyä varsinkin ulkonäön suhteen.<br />
[[Kuva:Kde-3.5.6-kustom.png|right|thumb|200px|Mukautettu KDE 3.5.6 -työpöytä.]]<br />
== Kirjautuminen ==<br />
KDE:hen kirjaudutaan tavallisesti jonkin [[graafinen kirjautumisohjelma|graafisen kirjautumisohjelman]] kautta. Kirjautumisohjelman valikosta voi valita käytettävän istuntotyypin (KDE, [[Gnome]], [[Xfce]] ym). Mikäli mitään valikkopainiketta ei löydy, saa valikon tavallisesti näkyviin painamalla näppäintä F10.<br />
<br />
==Työpöytä==<br />
KDE:ssä on oletuksena yksi alapaneeli, jonka vasemmassa äärilaidassa on päävalikon (K-valikko) kuvake. K-valikon kuvakkeena toimii yleensä KDE:n K-logo, eri jakelupaketeissa se saattaa myös olla korvattu jakelun omalla logolla. <br />
<br />
Heti K-valikosta oikealle on yleensä eri ohjelmien (esimerkiksi [[www-selain]], [[sähköposti]]ohjelma) pikakäynnistyskuvakkeita. Paneelissa on yleensä myös tyhjää tilaa varattuna ikkunalistalle, kello, [[virtuaalityöpöytä|virtuaalityöpöydän]] valitsin sekä ilmoitusalue, jonne jotkut ohjelmat sijoittavat kuvakkeitaan. Ilmoitusalueella saattaa alusta alkaen olla esimerkiksi äänenvoimakkuussäädin.<br />
<br />
Itse työpöydälle voi sijoittaa haluamiaan kuvakkeita. Oletuksena siellä on yleensä vähintään roskakoriin ja käyttäjän [[kotihakemisto]]on viittaava kuvake. <br />
<br />
=== Pikakäynnistimet ===<br />
Ohjelmille, tiedostoille, hakemistoille, verkkosijainneille ym voi tehdä [[.desktop|pikakäynnistimiä]] (linkkejä) paneeliin ja työpöydälle raahaamalla niitä sinne esimerkiksi K-valikosta, tiedostonhallintaohjelmasta tai muualta työpöydältä. <br />
<br />
Ohjelmien kuvakkeita voi myös lisätä paneeliin klikkaamalla paneelia hiiren kakkosnäppäimellä ja valitsemalla ''Lisää sovellus paneeliin''. Paneelissa olevaa kuvaketta voi siirtää klikkaamalla sitä hiiren kakkosnäppäimellä ja valitsemalla ''Siirrä''.<br />
<br />
=== Taustakuva ja näytönsäästäjä ===<br />
Pääset muokkaamaan taustakuvaa ja näytönsäästäjää ohjelmalla [[KDesktop]]. Pääset tähän napsauttamalla työpöydän päällä hiiren kakkosnäppäintä ja valitsemalla sieltä kohdan ''Työpöydän asetukset...''<br />
<br />
[[Kuva:KDesktop.png|400px]]<br clear="left" /><br />
Taustan valintaan on kolme vaihtoehtoa <br />
*Ei kuvaa<br />
:Jos valitset tämän vaihtoehdon, näkyy työpöydällä pelkkä taustaväri. Tämän vaihtoehdon on oltava valittuna, mikäli haluaa käyttää työpöydän piirtämiseen jotakin ulkoista ohjelmaa, kuten [[Xplanet]]ia. Ulkoisten taustakuvaohjelmien asetukset löytyvät Lisäasetukset-napin takaa.<br />
*Kuva:<br />
:Voit valita joko oman taustakuvan painamalla kansiokuvaketta tai valita jonkun jo olemassa oleven taustakuvan. Lisää taustakuvia voi hakea napsauttamalla ''Hae uudet taustakuvat''.<br />
*Diaesitys:<br />
:Myös diaesitys työpöydällä on mahdollista menemällä ''Asetukset''-kohtaan ja lisäämällä haluamansa kuvat.<br />
Voit myös asettaa jokaiselle [[virtuaalityöpöytä|virtuaalityöpöydälle]] oman taustan kohdasta ''Asetukset työpöydälle:''.<br />
<br />
Näytönsäästäjän saat käyttöön menemällä vasemmassa reunassa sijaitsevaan kohtaan <tt>Näytönsäästäjä</tt>. Merkitse nyt kohta <tt>Käynnistä automaattisesti</tt> ja valitse sopiva aika. Näytönsäästäjän saat käyttöön napsauttamalla haluamaasi näytönsäästäjää jolloin se tummuu. Jokaista näytönsäästäjää voi myös muokata kaksoisnapauttamalla kyseistä kohtaa.<br />
<br />
=== Roskakori ===<br />
[[Kuva:Kde-trashcan_full.png|left]]<br />
KDE:ssä tiedostot menevät oletuksena poiston jälkeen roskakoriin muista käyttöjärjestelmistä ja työpöytäympäristöistä tutulla tavalla. Linkki roskakoriin löytyy oletuksena työpöydältä, ja sinne pääsee myös syöttämällä [[Konqueror]]-tiedostonhallintaohjelmaan osoitteen <tt>trash:/</tt>. Roskakori tyhjennetään painamalla linkistä hiiren kakkosnappulalla, ja painamalla ''Tyhjennä roskakori''.<br />
<br />
=== Virtuaalityöpöydät ===<br />
[[Kuva:Kde-pager.png|left]]<br />
[[Virtuaalityöpöydät|Virtuaalityöpöytien]] avulla voit ryhmitellä yhtäaikaa käynnissä olevat ohjelmat näppärästi. Paneelista löytyvällä työpöytäselaimella työpöytien välillä vaihtaminen käy näppärästi, eikä ikkunoita tarvitse pienentää löytääkseen kaipaamansa. Voit säätää virtuaalityöpöytiä napsauttamalla työpöytäselainta oikealla kakkospainikkeella ja sieltä ''Aseta työpöytiä...''.<br />
<br />
=== Teemat ===<br />
KDEn värejä pääset muutamaan menemällä kohtaan ''K-valikko'' --> ''Järjestelmän asetukset'' --> ''Ulkonäkö'' --> ''Värit''.<br />
[[Kuva:Kde-varit.png|right|200px]]<br />
<br />
Voit muuttaa värejä kolmella tavalla.<br />
*Väriteema<br />
:Voit valita väriteeman suoraan luettelosta.<br />
*Tuo teema...<br />
:Jos löydät Internetistä miellyttävän väriteeman, voit lisätä sen tästä kunhan sen tiedostopääte on <tt>.kcsrc</tt>.<br />
*Käyttöliittymäelementin väri<br />
:Voit myös luoda itsellesi persoonallisen väriteeman tekemällä sen itse. Valitse kohta esikatseluikkunasta tai kohdasta ''Käyttöliittymäelementin väri'' ja muuta väriä.<br />
<br />
== Ohjelmien käynnistäminen ja K-valikko ==<br />
Työpöydältä ja kansioista ohjelmat käynnistetään yhdellä hiiren napsautuksella. Vasemmassa alakulmassa sijaitsee K-valikko josta voidaan käynnistää ohjelmia. Kaikki ohjelmat ovat luokiteltu ohjelmaryhmiin jolloin ne pysyvät siistissä järjestyksessä. <br />
<br />
[[Kuva:Kvalikko.png|200px]]<br />
<br />
== Paneeli ==<br />
[[Kuva:Kde-paneeli.png]]<br />
Paneelissa olevia pikapainikkeita voi siirtää napsauttamalla niitä hiiren oikealla painikkeella ja valitsemalla aukeavasta valikosta siirtotoiminnon. Tämän jälkeen hiiren liikuttaminen vaakasuunnassa siirtää kuvaketta. Kelloa ja ilmoitusaluetta voi siirtää painamalla hiiren ykkösnapin pohjaan niiden vasempaan reunaan ilmestyvän reunamerkinnän päällä ja liikuttamalla hiirtä vaakasuorassa.<br />
<br />
[[Kuva:Kde-lisaa-sovelma.png|right|thumb|250px|Sovelman lisääminen paneeliin]]<br />
Sovelmat ovat pieniä ohjelmia, jotka esimerkiksi voivat näyttää kellonaikaa, näyttää viimeaikaisia asiakirjoja tai lukita työpöydän. Näitä voidaan lisätä paneeliin napsauttamalla paneelin tyhjää kohtaa hiiren kakkospainikkeella, valitsemalla aukeavasta valikosta ''Lisää sovelma paneeliin''. Aukeavasta valikosta valitaan haluttu sovelma ja painetaan painiketta ''Lisää paneeliin''.<br />
<br />
== Konqueror - tiedostonhallinta, www-selain ja paljon muuta ==<br />
''Pääartikkeli: [[Konqueror]].''<br />
<br />
[[Piilotiedosto]]t saat Konquerorissa näkymään menemällä ''Näytä'' ja laitamalla päälle kohdan ''Näytä piilotiedostot''.<br />
<br />
== Lompakkopalvelu ==<br />
KDE:ssä on oma lompakkopalvelu (kdewallet, KDE:n lompakonhallinta), joka mahdollistaa KDE-ohjelmien (esim. [[Konqueror]]in ja [[Kopete]]n) tarvitsemien käyttäjätunnusten ja salasanojen tallentamisen yhden salasanan taakse.<br />
<br />
[[Kuva:Kwallet-uusi.png|right|200px|Salasanan antaminen uudelle lompakolle]]<br />
Kun ensimmäistä kertaa syötät salasanan johonkin lompakkoa tukevaan ohjelmaan, saat eteesi ikkunan, jossa pyydetään antamaan salasana lompakolle. Samanaikaisesti näet myös salasanan vahvuusmittarin; käytä mahdollisimman vahvaa salasanaa, jolloin sen murtaminen on mahdollisimman hankalaa (sekä isoja että pieniä kirjaimia ja numeroita). Myöhemmin KDE-ohjelmat tarjoutuvat lisäämään salasanan suoraan käytössä olevaan lompakkoon.<br />
<br />
Tämän jälkeen paneelin ilmoitusalueelle ilmestyy avonaisen lompakon kuva. Lompakkoa napsauttamalla aukeaa lompakonhallinta, jossa on listattuna käytössä olevat lompakot. Salasanoja voi tallentaa useisiin, eri salasanoilla suojattuihin lompakoihin, mutta yleensä yksi riittää. Napsauttamalla tätä lompakkoa (oletuksena nimi kdewallet) pääset selaamaan ja muokkaamaan sinne tallennettuja tietoja. Jos esimerkiksi olet tallentanut wikin käyttäjätunnuksesi ja salasanasi lompakkoon Konquerorilla, kirjoita hakukenttään linux.fi, ja huomaat tietojen löytyvän. Tietoja voi muuttaa kaksoisnapsauttamalla kyseistä arvoa, ja arvot saa näkyviin laittamalla rastin kohtaan <tt>Näytä arvot</tt>.<br />
<br />
[[Kuva:Kwallet-muokkaa.png|400px|thumb|Linux.fin käyttäjätunnus ja salasana – oletuksena toki piilotettuna]]<br />
[[Kuva:Kwallet-salasana.png|200px|right|thumb|Lompakkopalvelu pyytää salasanaa]]<br />
Lompakko voidaan sulkea lompakonhallintasovelluksessa napsauttamalla lompakkoa [[Hiiri|hiiren]] kakkospainikkeella ja valitsemalla ''Sulje''. KDE-ohjelmat pyytävät lompakon avaamista varten salasanaa kun ne yrittävät hakea lompakosta salasanaa tai lisätä tietoja lompakkoon.<br />
<br />
== Perusohjelmia ==<br />
=== KWrite ===<br />
[[Kuva:Kde-kwrite.png|200px|right|thumb|KWrite-editori]]<br />
''Pääartikkeli: [[KWrite]].''<br />
KWrite on KDE-työpöydän yksinkertainen ja toimiva [[tekstieditori]].<br />
<br />
=== Kate ===<br />
[[Kuva:Kde-kate.png|200px|right|thumb|Kate työssä]]<br />
''Pääartikkeli: [[Kate]].''<br />
Kate on KWritestä askeleen edistyneempi tekstieditori, joka omaa joitain [[Ohjelmointiympäristö|ohjelmointiympäristöille]] ominaisia ominaisuuksia. Se osaa muun muassa yksinkertaisen istunnonhallinnan, sisältää mahdollisuuden pitää useita tiedostoja auki saman ikkunan sisällä sekä muun muassa sisäänrakennetun [[komentorivi]]n.<br />
<br />
=== Kolourpaint ===<br />
[[Kuva:Kde-kolourpaint.png|right|200px|thumb|Nykytaidetta kolourpaintissa]]<br />
Kolourpaint on yksinkertainen piirustus- ja kuvankäsittelyohjelma KDE-työpöydälle. Se osaa tallentaa kuvat yleisimmissä tiedostomuodoissa.<br />
<br />
=== KPDF ===<br />
[[Kuva:Kpdf.png|200px|thumb|right|KPDF näyttää fysiikan ylioppilastehtäviä.]]<br />
''Pääartikkeli: [[KPDF]].''<br />
KPDF on KDE-työpöydälle tarkoitettu sovellus [[PDF]]-tiedostojen lukemiseen. Se on Windows-maailmasta tuttuun [[Adobe]] [[Acrobat Reader]]iin verrattuna erittäin kevyt, mutta kestää ominaisuuksiensa puolesta vertailun.<br />
<br />
=== KCalc ===<br />
[[Kuva:Kde-kcalc.png|200px|thumb|right|KCalc käytössä]]<br />
KCalc on perinteistä taskulaskinta matkiva laskinohjelma, jolla peruslaskutoimitukset sujuvat näppärästi.<br />
<br />
== Tulostaminen ==<br />
Useimmissa KDE-ohjelmissa on tulostustoiminto kohdassa ''Sijainti''/''Tiedosto'' --> ''Tulosta''. Kohdassa ''Nimi:'' voi valita käytettävän tulostimen tai esimerkiksi valita tulostuksen [[PostScript]]- tai [[PDF]]-tiedostoon (helppo tapa luoda PDF-tiedostoja lähes mistä tahansa asiakirjasta).<br />
<br />
[[Luokka:Ohjeet]]<br />
[[Luokka:KDE-ohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Adobe_Reader&diff=47771Adobe Reader2017-08-31T10:33:18Z<p>Tuju: Tuju siirsi sivun Adobe Reader uudelle nimelle Acrobat Reader: väärä nimi.</p>
<hr />
<div>#OHJAUS [[Acrobat Reader]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Acrobat_Reader&diff=47770Acrobat Reader2017-08-31T10:33:18Z<p>Tuju: Tuju siirsi sivun Adobe Reader uudelle nimelle Acrobat Reader: väärä nimi.</p>
<hr />
<div>{{Ohjelma<br />
| nimi=Adobe Reader <br />
| kuva= <br />
| kuvateksti= <br />
| käyttöliittymä=[[?]]<br />
| lisenssi=suljettu <br />
| kotisivu=[http://www.adobe.com/products/acrobat/readstep2.html adobe.com] <br />
}}<br />
<br />
'''Adobe Reader''' (''acroreader'') on [[Adobe|Adoben]] suljettu ohjelma [[PDF]]-tiedostojen katseluun. Se on saatavissa Linuxin lisäksi useille eri alustoille ja onkin yleisin PDF-ohjelma.<br />
<br />
==Katso myös==<br />
*[[Evince]]<br />
*[[kpdf]]<br />
*[[xpdf]]<br />
<br />
[[Luokka:PDF-ohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Luokka:PDF-ohjelmat&diff=47769Luokka:PDF-ohjelmat2017-08-31T10:31:40Z<p>Tuju: </p>
<hr />
<div>Tässä luokkaan kuuluu [[PDF]]-tiedostojen katsomiseen ja muokkaamiseen soveltuvia ohjelmia ja ohjelmistoja. Linuxissa ei yleensä tarvitse käyttää [[Adobe]] [[Acrobat Reader]] -ohjelmaa PDF-tiedostojen näyttämiseen, vaan ne saa eräitä salauksen sisältäviä versioita lukuunottamatta näkyviin esimerkiksi tavallisilla työpöytäympäristöjen mukana tulevilla ohjelmilla, kuten [[Okular|Okularilla]], [[KPDF]]:llä tai [[Evince]]llä. <br />
<br />
Yleisin syy käyttää työpöytäympäristöjen ulkopuolisia ohjelmia on PDF-lomakkeiden täyttäminen, toiminto jota niiden ohjelmat eivät tue. <br />
<br />
PDF-tiedostoja voi luoda esimerkiksi [[OpenOffice]]lla, [[LibreOffice]]lla tai [[Scribus|Scribuksella]]. Kaikista [[KDE]]-ohjelmista löytyy myös valinta <tt>Tulosta tiedostoon (PDF)</tt>, jonka avulla lähes mistä tahansa dokumentista saadaan muodostettua PDF-tiedosto.<br />
<br />
[[Luokka:Ohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Acrobat_Reader&diff=47768Acrobat Reader2017-08-31T10:28:17Z<p>Tuju: </p>
<hr />
<div>{{Ohjelma<br />
| nimi=Adobe Reader <br />
| kuva= <br />
| kuvateksti= <br />
| käyttöliittymä=[[?]]<br />
| lisenssi=suljettu <br />
| kotisivu=[http://www.adobe.com/products/acrobat/readstep2.html adobe.com] <br />
}}<br />
<br />
'''Adobe Reader''' (''acroreader'') on [[Adobe|Adoben]] suljettu ohjelma [[PDF]]-tiedostojen katseluun. Se on saatavissa Linuxin lisäksi useille eri alustoille ja onkin yleisin PDF-ohjelma.<br />
<br />
==Katso myös==<br />
*[[Evince]]<br />
*[[kpdf]]<br />
*[[xpdf]]<br />
<br />
[[Luokka:PDF-ohjelmat]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Nautilus&diff=47493Nautilus2017-01-30T13:35:40Z<p>Tuju: /* Vinkkejä */</p>
<hr />
<div>{{Ohjelma<br />
| nimi=Nautilus<br />
| kuva=[[Kuva:Nautilus.png|200px]]<br />
| kuvateksti=<br />
| lisenssi=[[GPLv2+]]<br />
| käyttöliittymä=[[GTK+]]<br />
| kotisivu=[https://wiki.gnome.org/Apps/Nautilus wiki.gnome.org/Apps/Nautilus]<br />
}}<br />
[[Kuva:tiedostoselain-nautilus.png|258px|right|thumb|Laajempi tiedostonhallintanäkymä.]]<br />
<br />
'''Nautilus''' on [[GTK|GTK:lla]] toteutettu tiedostonhallintasovellus [[GNOME|GNOME-työpöydälle]]. Se noudattelee muustakin GNOMEsta tunnettua yksinkertaista linjaa. Nautiluksella onnistuu myös CD:n polttaminen.<br />
<br />
==Vinkkejä==<br />
*Tiedoston kopiointi onnistuu helposti, kun pitää {{Näppäin|CTRL}}-nappia pohjassa raahatessaan kuvaketta. [[Symbolinen linkki|Symbolisen linkin]] taas saa tehtyä pitämällä pohjassa näppäimiä {{Näppäin|CTRL|SHIFT}}.<br />
*[[Komentorivi]]ltä käynnistettynä Nautilus tukee [[valitsin|valitsimia]] <tt>--no-desktop</tt> (ei piirrä Gnomen työpöytää) ja <tt>--browser</tt> (käynnistyy laajemmassa näkymässä), siis esimerkiksi <tt>nautilus --no-desktop --browser</tt>.<br />
*Nautiluksen käynnistäminen pääkäyttäjä tilassa. Paina näppäimiä {{Näppäin|Alt|F2}} ja lisää riville <tt>gksudo nautilus</tt>.<br />
* [[Apple|Applen]] iPhone ja iPad tuki saattaa toimia jos [http://www.libimobiledevice.org/ libimobiledevice], ifuse, gvfs-afc ja gvfs-gphoto2 on asennettuina.<br />
* Jotta KDE-ohjelmat osaisivat avata tiedostoja nautiluksesta, järjestelmästä tulee löytyä kio-metodi AFC-protokollalle, eli ''kio_afc.so'' plugin.<br />
[[Tiedosto:Nautilus.ipad.png|thumb|Aktiivinen iPad taulutietokoneen kahlaus Fedoran KDE-työpöydällä.]]<br />
<br />
==Katso myös==<br />
*[[Konqueror]]<br />
*[[Thunar]]<br />
*[[nautilus-elementary]] - laajennus joka muuttaa nautiluksen ulkonäön selkeämmäksi.<br />
<br />
==Aiheesta muualla==<br />
*[http://g-scripts.sourceforge.net/ Skriptejä Nautilukselle]<br />
* https://wiki.gentoo.org/wiki/Apple_iPod,_iPad,_iPhone<br />
<br />
[[Luokka:GNOME-ohjelmat]]<br />
[[Luokka:Poltto-ohjelmat]]<br />
[[Luokka:Tiedostonhallinta]]</div>Tujuhttps://www.linux.fi/w/index.php?title=Keskustelu:Bluetooth&diff=47334Keskustelu:Bluetooth2016-12-14T09:30:10Z<p>Tuju: </p>
<hr />
<div>Mikähän tuon "Bluetooth profiileja" -listan tarkoitus on? --[[Käyttäjä:Heikki|Heikki]] 15. huhtikuuta 2007 kello 23.34 (EEST)<br />
<br />
http://stackoverflow.com/questions/12888589/linux-command-line-howto-accept-pairing-for-bluetooth-device-without-pin<br />
https://wiki.ubuntu.com/X/Config/Input</div>Tuju