(2014-10-14 22:35:45 отредактировано beelze)

рутокен и pam_p11

В pam_p11 мне очень нравятся простота настройки и то, что для логина достаточно вводить пин вместо пароля. Однако и здесь есть серьезная проблема.

Обнаружилась она при попытке разблокировки рабочего стола (в качестве локера используется slimlock из логин-менеджера slim). С первого раза ввод пина срабатывает только если токен не вытаскивался при заблокированном экране. Подробно ситуация (с синтетическим тестом и логами) мной описана в https://github.com/OpenSC/pam_p11/issues/3 , вкратце сообщу только итог:

если в период между pam_start и соответствующим pam_authenticate токен извлекался, то ввод верного пина приведет к успешной аутентификации только со 2го или 3го раза.

Исходя из того, что одной из самых логичных ситуаций на декстопе является «вытащил токен - залочил - ушел - пришел - вставил токен - ввел пин», проблема мне кажется вполне достойной внимания. К сожалению, апстрим никак пока не отреагировал и, возможно, реакция будет стандартной – «send patches». Возможно, интеграция ваших разработчиков с девами opensc более тесная и решение этого вопроса удастся ускорить.

Re: рутокен и pam_p11

Мы посмотрим что можно сделать, но пока не могу ничего обещать.

Re: рутокен и pam_p11

я понимаю, что это может быть проблемой, имеющей корни весьма далеко от рутокена, однако в одиночку привлечь внимание разработчиков к багу (а я пока даже не знаю, кому на самом деле «принадлежит» баг) бывает затруднительно.
Поэтому было бы для начала замечательно, если бы у Вас получилось воспроизвести эту проблему и подтвердить багрепорт.

Re: рутокен и pam_p11

Ну вот. Прошло несколько лет и кое-что изменилось, хотя не в лучшую сторону.

Вкратце: вышла новая версия pam_p11-0.2.0. Которая, судя по всему, не работает с librtpkcs11ecp.so. Разработчик проблемы не видит (считает, что maybe need to contact the card's vendor), предлагает произвести отладку. Разумеется как минимум ввиду отсутствия отладочной информации в librtpkcs11ecp.so это невозможно. Более полное освещение проблемы здесь: https://github.com/OpenSC/pam_p11/issues/3

Моих знаний недостаточно ни для разрешения проблемы ни для того, чтобы убедить хотя бы одну из сторон хоть что-то сделать. Надеюсь, что «vendor» не проигнорирует проблему :-) Было бы неплохо, если бы Ваша сторона поучаствовала в обсуждении проблемы непосредственно в рамках указанного issue.

Re: рутокен и pam_p11

Добрый день, beelze.

Передал в разработку. Попробуем разобраться в чем проблема. Подскажите сразу версию librtpkcs11ecp.so, не нашел ее в issue на github

(2018-06-13 14:09:25 отредактировано beelze)

Re: рутокен и pam_p11

Не нашел я readelf'ом где в либе версия.
Разве что по размеру и хэшу (дата тоже как бы должна соответствовать релизу):

# lsl /opt/rutoken/librtpkcs11ecp.so{,.old}                                               ↑
-rwxr-xr-x 1 beelze beelze 2944016 Nov 24  2017 /opt/rutoken/librtpkcs11ecp.so
-rw-r--r-- 1 beelze beelze 2849616 Oct 10  2016 /opt/rutoken/librtpkcs11ecp.so.old

# md5sum /opt/rutoken/librtpkcs11ecp.so{,.old}                                              ↑
16ec143a752d6c40380bdff6b2ece680  /opt/rutoken/librtpkcs11ecp.so
82b5fda89d669d062edc82cf1b486391  /opt/rutoken/librtpkcs11ecp.so.old

с этими 2мя версиями проверялось, разницы не было обнаружено.