#language cs
## 15.12.2015 AK
----
 '''česky''' | [[PamAuthentication|english]]
----
== Identifikace PAM ==

Většina linuxových systémů silně využívá PAM framework k identifikaci. PKI hardware pomocí OpenSC lze použít s PAM, takže Vám umožní využít Vaše karty PKI pro konzolové přihlášení v Linuxu, což odstraní nutnost pamatovat si množství hesel pro mnoho strojů, nebo i GDM/Xscreensaver k přihlášení do Xwindows atd. bez nutnosti pamatovat si dlouhá hesla a přitom mít větší zabezpečení, protože nyní potřebujete mít k přihlášení ještě fyzické zařízení. Vzhledem k vlastnostem PAM můžete nyní požadovat, aby byla vložena karta PKI a hesla vůbec zakázána, nebo máte volbu použít kartu PKI, je-li k dispozici, a umožnit i zadání hesla jako poslední možnosti.

Před jakoukoli akcí je dobré vytvořit si seznam certifikátů, kterými se budete přihlašovat, jinak se může stát, že si uzamknete přístup do svého systému, což by bylo '''''opravdu''''' špatné. :)

Pro každého uživatele a jeho seznam povolených certifikátů potřebujete spustit příkaz:

{{{
mkdir ~username/.eid
pkcs15-tool -r 45 > ~username/.eid/authorized_certificates
chown -R username:username ~username/.eid
}}}

Dále potřebujete upravit soubor: /etc/pam.d/common-auth; před úpravou by měl vypadat asi takto:

{{{
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    required        pam_unix.so nullok_secure
}}}

Abyste si svůj PKI hardware napřed vyzkoušel(a) s možností vrátit se k heslům, upravte soubor common-auth:

{{{
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    sufficient      pam_opensc.so
auth    required        pam_unix.so nullok_secure
}}}
Legenda:
 * sufficient = postačující, dostatečné
 * required = vyžadované, nutné

Nebo budete přijímat přihlašování pouze přes PKI hardware:

{{{
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth    required        pam_opensc.so
}}}

----

 . CategoryCryptoHardware