노트북의 지문 판독기를 효율적으로 사용하고 싶습니다. PAM을 통해 지문 판독을 구성 할 수 있었습니다 fprint(두 번째 설명에 설명된 단계 사용).여기) 그런데 작은 문제가 발생했습니다.
지문 판독기를 사용하여 로그인하면 그놈 키링이 잠금 해제되지 않습니다. 이제 fprintKeyring은 Windows Hello와 같은 하드웨어 기반 키 저장소 잠금 해제를 지원하지 않기 때문에 이것이 가능한 방식이라는 것을 이해합니다 . 이 제한 사항에는 문제가 없지만 로그인할 때 비밀번호를 입력해야 한다는 뜻입니다.
지금 이 문제를 해결하는 방법은 처음 로그인할 때 10초를 기다려 지문 판독기의 시간이 초과되고 비밀번호 프롬프트가 표시되는 것입니다. 그런 다음 로그인을 위해 비밀번호를 입력하면 로그인과 함께 키링이 잠금 해제됩니다. 장치를 잠금 해제하거나 나중에 sudo 명령을 실행할 때 여전히 지문 판독기를 사용합니다.
그래서 내 질문은 첫 번째 로그인에 내 비밀번호를 직접 사용할 수 있도록(지문 센서가 시간 초과될 때까지 기다리지 않고) 동시에 내 지문을 사용하여 잠금을 해제하고 sudo 명령을 실행할 수 있도록 PAM을 구성할 수 있느냐는 것입니다. 독자.
저는 Linux Mint를 실행하기 위해 Cinnamon 데스크탑을 사용하고 있습니다.
답변1
글쎄, 이건 좀 까다롭습니다.
다양한 서비스에 대한 인증 방법은 디렉토리의 파일에 의해 제어됩니다 /etc/pam.d/. 이 pam-auth-update명령은 서비스별 파일로 생성된 파일을 업데이트합니다 common-*.@include
나는 KDE를 선호하지만 Cinnamon은 GNOME 파생이므로 초기 로그인은 아마도 KDE에 의해 처리될 것입니다 /etc/pam.d/gdm(또는 /etc/pam.d/gdm-greeterKDE가 존재하는 경우). @include해당 파일의 줄을 해당 파일의 내용으로 바꾸면 원하는 것을 얻을 수 있습니다 /etc/pam.d/common-*.인용된 줄 생략pam_fprintd. 이로 인해 초기 로그인 시 지문 센서와 관련된 모든 구성 요소가 무시되지만 다른 모든 구성 요소에서는 평소와 같이 지문 인증이 허용됩니다.
( 반대로 동일한 결과를 얻을 수도 있습니다. 즉, 메서드를 사용하여 pam-auth-update파일에서 지문 인증 구성을 제거common-*
경고하다:PAM 구성 파일을 변경하면 오타나 기타 오류가 발생할 경우 컴퓨터에서 쉽게 잠길 수 있습니다. 구성 파일을 편집하고 변경 사항을 테스트하기 위해 로그아웃하기 전에 변경 사항이 작동하지 않을 경우 변경 사항을 실행 취소할 수 있는 다른 방법이 있는지 확인하십시오.
이 경우 텍스트 모드 가상 콘솔로 전환하고 거기에서 로그인한 후 루트가 되어 해당 콘솔에서 완전히 인증을 받으십시오. 그런 다음 GUI 모드로 다시 전환하고 변경한 다음(먼저 변경하려는 파일을 백업하고) GUI에서 로그아웃하여 테스트합니다. GUI 로그인이 더 이상 작동하지 않으면 루트 권한으로 로그인한 텍스트 모드 가상 콘솔로 다시 전환하고 이를 사용하여 변경 사항을 취소하면 됩니다.
또는 변경하기 전에 다른 컴퓨터에서 두 개의 SSH 세션을 시작하고 변경하기 전에 모든 파일을 백업하십시오.
들어갈 수 있는 다른 방법이 없어 잠겨 있는 경우 라이브 Linux 미디어에서 시스템을 부팅한 다음 루트 파일 시스템을 마운트하고 변경 사항을 실행 취소해야 합니다.
답변2
나는 이것이 오래된 질문이라는 것을 알고 있지만 내가 찾은 해결책은 이전 답변보다 훨씬 간단합니다.
다음을 통해 gdm(사전 로그인) 사용자에 대한 지문 인증을 비활성화할 수 있습니다.
sudo -u gdm dbus-launch gsettings set org.gnome.login-screen enable-fingerprint-authentication false
지문 판독기는 첫 번째 로그인(잠금 화면 포함)을 제외한 모든 곳에서 잘 작동합니다.