рутокен и pam_p11
В pam_p11 мне очень нравятся простота настройки и то, что для логина достаточно вводить пин вместо пароля. Однако и здесь есть серьезная проблема.
Обнаружилась она при попытке разблокировки рабочего стола (в качестве локера используется slimlock из логин-менеджера slim). С первого раза ввод пина срабатывает только если токен не вытаскивался при заблокированном экране. Подробно ситуация (с синтетическим тестом и логами) мной описана в https://github.com/OpenSC/pam_p11/issues/3 , вкратце сообщу только итог:
если в период между pam_start и соответствующим pam_authenticate токен извлекался, то ввод верного пина приведет к успешной аутентификации только со 2го или 3го раза.
Исходя из того, что одной из самых логичных ситуаций на декстопе является «вытащил токен - залочил - ушел - пришел - вставил токен - ввел пин», проблема мне кажется вполне достойной внимания. К сожалению, апстрим никак пока не отреагировал и, возможно, реакция будет стандартной – «send patches». Возможно, интеграция ваших разработчиков с девами opensc более тесная и решение этого вопроса удастся ускорить.