Fingerabdrucksensor: Frage zu KDE und PAM

[CyborgBeta]

Hallo,

ich möchte in Linux Arch einen Fingerdrucksensor verwenden.

1. https://wiki.archlinux.org/title/fprint#Login_configuration
2. https://wiki.archlinux.org/title/PAM#PAM_base-stack

Wenn ich das richtig verstehe, muss ich in /etc/pam.d/ den entsprechenden Konfigurationsdateien folgendes anfangs hinzufügen:

auth        sufficient      pam_fprintd.so max_tries=1 timeout=10 debug
auth        sufficient      pam_unix.so

wenn ich möchte, dass erst nach dem Fingerabdruck gefragt wird, und wenn das nicht gelingt, nach dem Passwort.

Das Funktioniert mit den Base-Stack-Files (login -> system-local-login -> system-login (-> system-auth)) auch ganz gut; aber ich weiß nicht, wie ich die system-auth-Datei anpassen muss, damit auch nach einem Reboot erst nach dem Fingerabdruck gefragt wird. Diese sieht zurzeit so aus:

#%PAM-1.0

auth       required                    pam_faillock.so      preauth
# Optionally use requisite above if you do not want to prompt for the password
# on locked accounts.
-auth      [success=2 default=ignore]  pam_systemd_home.so
auth       [success=1 default=bad]     pam_unix.so          try_first_pass nullok
auth       [default=die]               pam_faillock.so      authfail
auth       optional                    pam_permit.so
auth       required                    pam_env.so
auth       required                    pam_faillock.so      authsucc
# If you drop the above call to pam_faillock.so the lock will be done also
# on non-consecutive authentication failures.

-account   [success=1 default=ignore]  pam_systemd_home.so
account    required                    pam_unix.so
account    optional                    pam_permit.so
account    required                    pam_time.so

-password  [success=1 default=ignore]  pam_systemd_home.so
password   required                    pam_unix.so          try_first_pass nullok shadow sha512
password   optional                    pam_permit.so

-session   optional                    pam_systemd_home.so
session    required                    pam_limits.so
session    required                    pam_unix.so
session    optional                    pam_permit.so

Habt ihr da ne Idee? Möchte mich nicht selber aussperren.

 

[fixedwater]

Ich hab keine Idee dazu, aber wahrscheinlich solltest Du die Frage besser im Linux-Bereich des Forums posten
https://www.computerbase.de/forum/forums/linux.31/

 

[CyborgBeta]

Hab noch Folgendes gefunden:

https://wiki.archlinux.org/title/SDDM#Using_a_fingerprint_reader

Das Problem ist, die sddm habe ich schon wie oben gezeigt angepasst, aber nach einem Reboot fragt er trotzdem zuerst nach dem Passwort. Muss ich die sddm-greeter auch anpassen?

Ergänzung (19. Oktober 2022)

Ich hab keine Idee dazu, aber wahrscheinlich solltest Du die Frage besser im Linux-Bereich des Forums posten
https://www.computerbase.de/forum/forums/linux.31/

Dann bitte verschieben.

Ergänzung (19. Oktober 2022)

Oh, hier ist die gleiche Frage: https://bbs.archlinux.org/viewtopic.php?id=260009

So basically there is first password and then fingerprint.Is there a way to avoid the password bit and hit enter to start the fingerprint auth.

Leider ist diese Frage unbeantwortet... Ich schließe daraus, dass das beim Systemstart (noch) nicht möglich ist. Hm.

 

[CyborgBeta]

Meine system-auth sieht nun so aus:

#%PAM-1.0

auth        sufficient      pam_fprintd.so max_tries=1 timeout=10 debug
auth        sufficient      pam_unix.so

#auth       required                    pam_faillock.so      preauth
# Optionally use requisite above if you do not want to prompt for the password
# on locked accounts.
#-auth      [success=2 default=ignore]  pam_systemd_home.so
#auth       [success=1 default=bad]     pam_unix.so          try_first_pass nullok
#auth       [default=die]               pam_faillock.so      authfail
#auth       optional                    pam_permit.so
#auth       required                    pam_env.so
#auth       required                    pam_faillock.so      authsucc
# If you drop the above call to pam_faillock.so the lock will be done also
# on non-consecutive authentication failures.

-account   [success=1 default=ignore]  pam_systemd_home.so
account    required                    pam_unix.so
account    optional                    pam_permit.so
account    required                    pam_time.so

-password  [success=1 default=ignore]  pam_systemd_home.so
password   required                    pam_unix.so          try_first_pass nullok shadow sha512
password   optional                    pam_permit.so

-session   optional                    pam_systemd_home.so
session    required                    pam_limits.so
session    required                    pam_unix.so
session    optional                    pam_permit.so

Es funktioniert alles, bis auf folgende Situation:

Wenn ich mich nach einem Neustart in KDE/SDDM erstmals anmelden möchte, dann werde ich zuerst nach dem Passwort gefragt. Erst, wenn ich dann einmal Enter eingebe, wird der Sensor aktiviert.

Woran könnte das liegen?