Ero sivun ”HST” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Lisätty SSH:n käyttöön liittyviä ohjeita.
Jem (keskustelu | muokkaukset) (Lisätty SSH:n käyttöön liittyviä ohjeita.) |
|||
| Rivi 29: | Rivi 29: | ||
*valitse ''Muokkaa''->''Tilien asetukset'' | *valitse ''Muokkaa''->''Tilien asetukset'' | ||
*halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne | *halutun tilin ''Turvallisuus''-valikosta valitse kortin todentamis- ja salausvarmenne | ||
===SSH=== | |||
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin | |||
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia '''ssh-agent''' ja '''ssh-add'''. | |||
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym. | |||
* On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla | |||
* Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa <code>/etc/kde/startup/agent-startup.sh</code> | |||
* ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa | |||
* Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku — tässä tapauksessa avainta ei siirretä ssh-agent -ohjelman muistiin vaan kortilla olevaa avainta käsitellään kirjaston rajapinnan kautta | |||
* Sen sijaan kortin PIN kysytään <code>ssh-add</code>-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin | |||
* Esim. <code>ssh-add -s /usr/lib/opensc-pkcs11.so</code> | |||
* Kortin on oltava lukijassa kun ssh-add -komento annetaan | |||
* Avainparin julkinen avain on siirrettävä vastapuolen (= serverin) <code>~/.ssh/authorized_keys-tiedostoon</code>; avaimen saa tulostettua ssh-add -L -komennolla: | |||
$ ssh-add -L | |||
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCrFmt4STTrjGROHuP7uPrl6MRxqZ/hBKqHtIcvetXV3j9wIrle+Mk9laRRowWoo9x2DqL4IIhP6SFO4NUup0/kRZkIP9Bavm0PkkboRpILysu5G5fKYYL2sTrcNGmzKsF2ItLoTotK6rD9azX+ZvYly9irAfVAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so | |||
===Ubuntu=== | ===Ubuntu=== | ||