[ silverglider @ 19.05.2003. 15:00 ] @
Prvo samo napomena - nekako mi je izgledalo da ovo najvise spada pod security samog linuxa; ukoliko moderator nalazi za shodno, neka prebaci temu u odgovarajuci forum.

Ok, situacija je sledeca: imam custom made hardver (pravljen u mojoj firmi) i na njega nakacen (izmedju ostalog) chip card reader. "Drajveri" za karte su uradjeni, sve lepo funkcionise. Chip karta se koristi kao provera za nas softver (provera lokacije, userid, userlevel, itd). Izvuce li se karta, softver prestaje sa radom odnosno baca korisnika na screen "ili ubaci kartu ili idi zvaci zvaku negde drugde". Znaci, manje vise ocekivana upotreba chip karte. Korisnici su podrzani od strane baze podataka na serveru koja se apdejtuje izradom nove ili ukidanjem neke chip karte.

Medjutim, posto na takvom racunaru (kontrolna konzola) uglavnom i radi samo nas softver, ja bih rado da spustim takav login/logout chip kartom na nizi, sistemski nivo. Dakle, ako karta stoji u citacu prilikom boota, sve se normalno startuje. Ukoliko nema karte, da digne X i trazi da se ubaci karta, recimo. Tehnicki, da ne mora da se vadi tastatura samo radi logina, posto se radi o kontrolnoj konzoli koja radi uglavnom preko kombinacije touch screena i trackballa. Mini tastatura postoji, ali je skrivena u vidu fiokice.

Pitanje je samo kako to uraditi "sigurno" sa sistemskog stanovista? Ok, napravim daemon koji opsluzuje insert/remove dogadjaje i potrebno citanje podataka, uglavim ga u rc script. Kako sad dalje reci sistemu na relativno lak i siguran nacin da je chip karta zaduzena za login? Moram da pravim pam modul ili sta?

[ tOwk @ 19.05.2003. 16:36 ] @
Postoji nekoliko „login“ programa, a za svaki ti je dostupan i izvorni kod. PAM moduli su rešenje za načine identifikacije, i verujem da rade sa standardnim login programom. Ne znam da li XDM/GDM/KDM i slični iste podržavaju.
[ B o j a n @ 19.05.2003. 23:09 ] @
Nisam neki pam guru, ali dobro znam da citam bugtraq i da primetim da su servisi care-free kada se koriste bez pam auth backend-a.

Jedini drugi primer koji mi pada na pamet je key-based logovanje pomocu ssh servisa. Sigurno postoji i preteca u vidu rsh servisa, ali time gubis na kriptografskom polju, a verujem da je to ono sto ti treba.