Ero sivun ”HST” versioiden välillä

Siirry navigaatioon Siirry hakuun
Rivi 70: Rivi 70:
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ''ssh-agent'' ja ''ssh-add''.
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ''ssh-agent'' ja ''ssh-add''.
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla
** Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta.
* ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa
* Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku — tässä tapauksessa avainta ei siirretä ssh-agent -ohjelman muistiin vaan kortilla olevaa avainta käsitellään kirjaston rajapinnan kautta
* Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin
* Esim. <code>ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Kortin on oltava lukijassa kun ssh-add -komento annetaan
* Avainparin julkinen avain on siirrettävä vastapuolen (= serverin) <code>~/.ssh/authorized_keys</code>-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla:


ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki pkcs#11 pluginille. Tällöin niitä ei ladat a muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan PKCS#11-pluginin polku &mdash. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin.
'''Käyttö''':
* Aseta kortti lukijaan ja lisää plugin:
  <code>ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:
  $ ssh-add -L
  $ ssh-add -L
  ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
  ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
* Jos tätä sertifikaattia ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) <code>~/.ssh/authorized_keys</code> tiedostoon palvelimella.
'''Vianmääritys''':
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.


=== OpenOffice.org ===
=== OpenOffice.org ===
Noudettu kohteesta ”https://www.linux.fi/wiki/HST