PAM_SYSTEMD_LOADKEY(8) pam_systemd_loadkey PAM_SYSTEMD_LOADKEY(8) BEZEICHNUNG pam_systemd_loadkey - Ein Passwort aus dem Kernel-Schlusselbund lesen und es als PAM-Authtok setzen UBERSICHT pam_systemd_loadkey.so BESCHREIBUNG pam_systemd_loadkey liest eine durch Nullbytes getrennte Passwortliste aus dem Kernel-Schlusselbund und setzt das letzte Passwort in der Liste als das PAM-Authtok, das z.B. von pam_get_authtok(3) verwandt werden kann. Die Passwortliste soll in dem >>Benutzer<<-Schlusselbund des Root-Benutzers durch einen fruheren Aufruf von systemd-ask-password(1) mit --keyname= gespeichert worden sein. Sie konnen den Schlusselnamen mittels der Option keyname= an pam_systemd_loadkey ubergeben. OPTIONEN Die folgenden Optionen werden verstanden: keyname= Akzeptiert ein Zeichenkettenargument, das den zu lesenden Schlusselnamen setzt. Die Vorgabe ist >>cryptsetup<<. Wahrend des Systemstarts speichert systemd-cryptsetup@.service(8) eine Passphrase oder PIN in dem Schlusselbund. Der LUKS2-Datentragerschlussel kann mittels der Option link-volume-key in crypttab(5) auch verwandt werden. Tabelle 1. Mogliche Werte fur Schlusselnamen. +-----------+-------------------------------+ |Wert | Beschreibung | +-----------+-------------------------------+ |cryptsetup | Passphrase oder | | | Wiederherstellungsschlussel | +-----------+-------------------------------+ |fido2-pin | Sicherheits-Token-PIN | +-----------+-------------------------------+ |luks2-pin | LUKS2-Token-PIN | +-----------+-------------------------------+ |tpm2-pin | TPM2 PIN | +-----------+-------------------------------+ Hinzugefugt in Version 255. debug Das Modul wird beim Betrieb Fehlersuchmeldungen protokollieren. Hinzugefugt in Version 255. BEISPIEL Dieses Modul sollte eingesetzt werden, wenn Sie LUKS mit einer Passphrase verwenden, automatisches Anmelden in der graphischen Oberflache aktivieren und den GNOME-Schlusselbund/das KDE-Wallet automatisch entsperren wollen. Somit geben Sie wahrend des Systemstarts insgesamt nur ein Passwort ein. Sie mussen das Passwort Ihres GNOME-Schlusselbundes/Ihrer Kwallet identisch zu der LUKS-Passphrase setzen. Dann fugen Sie die folgenden Zeilen zu der PAM-Konfiguration Ihres Display-Managers unter /etc/pam.d/ hinzu (z.B. sddm-autologin): -auth optional pam_systemd_loadkey.so -auth optional pam_gnome_keyring.so -session optional pam_gnome_keyring.so auto_start -session optional pam_kwallet5.so auto_start Fugen Sie auch die folgenden Zeilen zu der Systemd-Dienstedatei des Display-Managers hinzu, so dass er auf den Schlusselbund von Root zugreifen kann: [Service] KeyringMode=inherit So eingerichtet wird systemd-cryptsetup@.service(8) wahrend der fruhen Systemstartphase nach der Passphrase fragen und sie im Kernel-Schlusselbund unter dem Schlusselnamen >>cryptsetup<< speichern. Wenn dann der Display-Manager das automatische Anmelden durchfuhrt, wird pam_systemd_loadkey(8) die Passphrase vom Kernelschlusselbund lesen und sie als PAM-Authtok setzen. Anschliessend werden pam_gnome_keyring und pam_kwallet5 mit der gleichen Passphrase entsperrt. UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 257.3 PAM_SYSTEMD_LOADKEY(8)