Nitrokey FIDO2 --> nur als "root"

Debian auf Notebooks und speziellen Geräten wie eingebetteten Systemen, Routern, Set-Top-Boxen, ...
Antworten
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Nitrokey FIDO2 --> nur als "root"

Beitrag von mistersixt » 09.01.2020 09:59:57

Moin moin,

ich habe mir einen Nitrokey FIDO2 Key geholt und versuche mich an einem "FIDO/U2F 2FA Auth" auf einer Webseite, aber weder Firefox V72 noch ChromiumV78.X aus Debian Buster reagieren auf Tastendruck am NitroKey.

Also mal mittels "pamu2fcfg" probiert, da kommt bei Benutzung als normaler User nach 15 Sek.:

Code: Alles auswählen

mistersixt@mars [/home/mistersixt] >pamu2fcfg 
No device found. Aborting.                                         
mistersixt@mars [/home/mistersixt] >
Als User "root" geht es einwandfrei, der NitroKey blinkt, und auf Tastendruck sehe ich Zertifikat und Co.

Jemand eine Idee, an was das liegen kann? Ich sehe leider keine Warnungen oder so in /var/log/syslog, auth.log, daemon.log.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von mistersixt » 09.01.2020 11:14:06

Gerade selbst herausgefunden (hat mir keine Ruhe gelassen ;) ): Ich habe in /lib/udev/rules.d/70-u2f.rules die Zeile...

Code: Alles auswählen

KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4287|42b1|42b3", TAG+="uaccess", GROUP="plugdev", MODE="0660"
...hinzugefügt, den User in die Gruppe "plugdev" gesteckt ... *tataaa*, nun geht es ;) .

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Benutzeravatar
Profbunny
Beiträge: 592
Registriert: 04.04.2004 11:12:29
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Bautzen

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von Profbunny » 09.01.2020 12:00:11

Bin schon eine Weile an der Fido2 Geschichte interessiert, welchen Stick hast du genau? Und wie weit sind die Anbieter, kann man dass im Netz schon nutzen?
Rechner / Server Debian sid

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von mistersixt » 09.01.2020 12:19:59

Profbunny hat geschrieben: ↑ zum Beitrag ↑
09.01.2020 12:00:11
Bin schon eine Weile an der Fido2 Geschichte interessiert, welchen Stick hast du genau? Und wie weit sind die Anbieter, kann man dass im Netz schon nutzen?
NitroKey FIDO2:

https://www.nitrokey.com/files/doc/Nitrokey_FIDO2_factsheet.pdf

Eine Übersicht über Dienste/Provider, die es mittlerweile anbieten, gibt es hier:

https://www.dongleauth.info

Ich habe das eben als 2FA bei einer elektronischen Börse registriert (in diesem Fall aus beruflichen Zwecken), mit Firefox 72.0.1.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Benutzeravatar
linuxlooser
Beiträge: 141
Registriert: 27.12.2012 17:17:37
Wohnort: Karlsruhe

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von linuxlooser » 28.12.2020 13:37:03

stehe gerade vor demselben Problem: lsusb zeigt

Code: Alles auswählen

Bus 001 Device 003: ID 20a0:42b1 Clay Logic 
Nitrokey schreibt:
- Falls der Nitrokey nicht sofort erkannt wird, müssen Sie vielleicht die Datei 41-nitrokey.rules nach etc/udev/rules.d/ kopieren. In seltenen Fällen benötigt das System die ältere Version dieser Datei.
- Danach starten Sie Udev neu indem Sie folgenden Befehl ausführen: sudo service udev restart
Hab's mit beiden dort verlinkten Dateien probiert - nix.

User ist in folgenden Gruppen (abgesehen von der eigenen (1000):

Code: Alles auswählen

24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),106(kvm),109(netdev),111(bluetooth),115(lpadmin),116(scanner),127(libvirt),64055(libvirt-qemu)
Und als user:

Code: Alles auswählen

~$ pamu2fcfg
No device found. Aborting.
während als root:

Code: Alles auswählen

~# pamu2fcfg
root:M_U86XUpxby4U57YTNKdRT9KbQ.......................................
Der Firefox liefert beim Anmelden am entsprechenden Dienst das Fenster, das zum Bestätigen am Key auffordert, der Key bestätigt den Tastendruck mit grüner LED, aber die Anmeldung läuft (logisch) in den Timeout.

Und nu steh ich auf dem Schlauch ...
Grüße
LL

Benutzeravatar
linuxlooser
Beiträge: 141
Registriert: 27.12.2012 17:17:37
Wohnort: Karlsruhe

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von linuxlooser » 28.12.2020 13:48:15

... sorry for the noise ...

Ich hatte die ganze Zeit den Key gesteckt gelassen.
Beim gerade durchgeführten letzten Versuch
~$ pamu2fcfg
No U2F device available, please insert one now, you have 8 seconds
Device found!
hab ich während des Timeout-countdowns den Stecker abgezogen und wieder gesteckt - dann ging's plötzlich :)
Und jetzt kann ich mich auch anmelden.

Kleine Ursache ...
Grüße
LL

mcb

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von mcb » 28.12.2020 20:38:12

linuxlooser hat geschrieben: ↑ zum Beitrag ↑
28.12.2020 13:48:15
... sorry for the noise ...

Ich hatte die ganze Zeit den Key gesteckt gelassen.
Beim gerade durchgeführten letzten Versuch
~$ pamu2fcfg
No U2F device available, please insert one now, you have 8 seconds
Device found!
hab ich während des Timeout-countdowns den Stecker abgezogen und wieder gesteckt - dann ging's plötzlich :)
Und jetzt kann ich mich auch anmelden.

Kleine Ursache ...
Schau mal ob es ein Firmwareupdate für den Stick gibt. Ich hatte das Problem auch (seit der neusten Firmware ist es weg).

Benutzeravatar
linuxlooser
Beiträge: 141
Registriert: 27.12.2012 17:17:37
Wohnort: Karlsruhe

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von linuxlooser » 29.12.2020 01:03:39

danke - hab mal von 2.1 auf 2.2 aktualisiert ... mal sehen, was passiert ... :)
(bis jetzt ist noch nix Negatives aufgefallen).
Grüße
LL

AxelMD
Beiträge: 1350
Registriert: 15.03.2009 08:02:11

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von AxelMD » 29.12.2020 16:36:25

Hallo FIDO2 User,

habt Ihr eigentlich zwei Keys oder was ist wenn der Key defekt ist oder weg ist?
Oder das Update misslingt?

MfG
AxelMD

mcb

Re: Nitrokey FIDO2 --> nur als "root"

Beitrag von mcb » 30.12.2020 14:56:25

AxelMD hat geschrieben: ↑ zum Beitrag ↑
29.12.2020 16:36:25
Hallo FIDO2 User,

habt Ihr eigentlich zwei Keys oder was ist wenn der Key defekt ist oder weg ist?
Oder das Update misslingt?

MfG
AxelMD
Ich habe zwei keys 1x solo 1x Nitro...

https://solokeys.com/products/somu-tiny ... ido2-usb-a

^^ der ist "fest" im Thinkpad.

Antworten