Nitrokey Pro - scdaemon Problem
Verfasst: 27.10.2021 10:18:30
Hallo zusammen,
aktuell nutze ich Debian Bullseye in Kombination mit einem Nitrokey Storage.
Den Nitrokey nutze ich zur SSH-Authentifikation und lokal zur Anmeldung am System. Leider entstehen nach der Anmeldung via SSH immer Probleme mit dem scdaemon.
Nachdem ich mich via SSH eingeloggt habe oder es auch nur versuche:
Kann ich mich anschließend auf dem System nicht mehr zu su (root) machen:
Fehlermeldung:
oder
funktioniert es anschließend wieder. Aber das ist keine dauerhafte Lösung.
Nachdem ich den ssh-Befehl (von oben) abgesetzt habe, erscheint im syslog die Meldung:
Meine Anpassungen sind im Grunde:
aktuell nutze ich Debian Bullseye in Kombination mit einem Nitrokey Storage.
Den Nitrokey nutze ich zur SSH-Authentifikation und lokal zur Anmeldung am System. Leider entstehen nach der Anmeldung via SSH immer Probleme mit dem scdaemon.
Nachdem ich mich via SSH eingeloggt habe oder es auch nur versuche:
Code: Alles auswählen
ssh 1.1.1.1
Code: Alles auswählen
su
Mit einemscdaemon[6044]: ccid open error: skip
scdaemon[6044]: pcsc_establish_context failed: no service (0x8010001d)
Bitte Authentifikationskarte für Benutzer 'root' einlegen
scdaemon[6044]: ccid open error: skip
scdaemon[6044]: pcsc_establish_context failed: no service (0x8010001d)
scdaemon[6044]: scdaemon (GnuPG) 2.2.27 angehalten
Code: Alles auswählen
gpgconf --kill gpg-agent
Code: Alles auswählen
pkill -9 scdaemon
Nachdem ich den ssh-Befehl (von oben) abgesetzt habe, erscheint im syslog die Meldung:
Ich bin etwas ratlos, wie man das fixen kann. Im Grunde funktioniert die lokale Authentifikation (mittels pam bzw. libpam-poldi), als auch die entfernte SSH-Authentifikation, aber die SSH-Auth bringt den scdaemon in einen defekten Status.Oct 27 10:07:30 pc gpg-agent[6002]: scdaemon[6002]: sending signal 12 to client 2175
Meine Anpassungen sind im Grunde:
Code: Alles auswählen
$HOME/.gnupg/gpg-agent.conf
und# Enable SSH support
enable-ssh-support
Code: Alles auswählen
$HOME/.bashrc
Jemand Ideen oder einen Ratschlag?unset SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
export SSH_AUTH_SOCK="$(gpgconf --list-dirs agent-ssh-socket)"
fi