Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] kwallet PAM-Module einbinden (SDDM u. LightDM)  (Read 3315 times)

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
[DE] kwallet PAM-Module einbinden (SDDM u. LightDM)
« on: 2016/03/24, 16:09:08 »
Hi Community,

ich war das dauernde Eintippen des kwallet Passwortes leid, die z.B. beider  Änderungen an der Netzwerk-Config (NM), bei Änderung der chromium-Config oder beim Aufruf von kwallet (Passwortspeicher) selbst.

Man kann in den PAM-Modulen diesen Unlock so einstellen das man nur noch einmal beim KDE-Login das kwallet Passwort eingeben muss (hat nichts mit dem Userpasswort in KDE zu tun).

Folgendes ist einzurichten für Plasma5:

libpam-kwallet5 ist zu installieren falls nicht vorhanden.
Code: [Select]
# apt-get install libpam-kwallet5

Beim Login-Manager SDDM sollte nach der Installation von libpam-kwallet5 alles soweit passen, d.h. man wird beim SDDM nur noch beim Login in den KDE nach dem kwallet Passwort gefragt. Ein Mausklick auf kwallet und der Passwordsafe ist ohne Passwortabfrage offen.

Beim Login-Manager LightDM sind die zwei Configfiles anzupassen die kwallet veranlassen den Unlock einzusetzen.
Code: [Select]
-auth            optional        pam_kwallet5.so
-session         optional        pam_kwallet5.so auto_start


Bei LightDM folgende Dateien editieren (Sicherungskopien zur Sicherheit erstellen):

/etc/pam.d/lightdm (Stellen sind mit einem Kommentar gekennzeichnet)
Code: [Select]
%PAM-1.0

# Block login if they are globally disabled
auth      requisite pam_nologin.so

# Load environment from /etc/environment and ~/.pam_environment
session      required pam_env.so readenv=1
session      required pam_env.so readenv=1 envfile=/etc/default/locale

@include common-auth

-auth  optional pam_gnome_keyring.so

# autom. kwallet Zugriff hinzu
-auth  optional pam_kwallet5.so

@include common-account

# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without out this it is possible
# that a module could execute code in the wrong domain.
# When the module is present, "required" would be sufficient (When SELinux
# is disabled, this returns success.)
session  [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close

session  required        pam_limits.so
session  required        pam_loginuid.so
@include common-session

# SELinux needs to intervene at login time to ensure that the process
# starts in the proper default security context. Only sessions which are
# intended to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# When the module is present, "required" would be sufficient (When SELinux
# is disabled, this returns success.)

-session optional        pam_gnome_keyring.so auto_start

# autom. kwallet Zugriff hinzu
-session optional        pam_kwallet5.so auto_start

@include common-password

/etc/pam.d/lightdm-greeter (Stellen sind mit einem Kommentar gekennzeichnet)
Code: [Select]
#%PAM-1.0

# Load environment from /etc/environment and ~/.pam_environment
session      required pam_env.so readenv=1
session      required pam_env.so readenv=1 envfile=/etc/default/locale

# Always let the greeter start without authentication
auth      required pam_permit.so

# autom. kwallet Zugriff hinzu
-auth     optional pam_kwallet5.so

# No action required for account management
account   required pam_permit.so

# Can't change password
password  required pam_deny.so

# Setup session
session   required pam_unix.so
session   optional pam_systemd.so

# autom. kwallet Zugriff hinzu
-session  optional pam_kwallet5.so auto_start