Ravensberger
Well-known member
- Registriert
- 14 Jan. 2023
- Beiträge
- 379
Moin,
derzeit sitze ich etwas ratlos an meinem T60 und versuche die Probleme zu lösen, die es ohne Computer nicht gäbe.
Konkret habe ich ein T60 mit Debian 11 und freue mich über die scheinbare Treiberunterstützung des internen Fingerprint Lesers:
dirk@T60:~$ lsusb
Bus 004 Device 003: ID 0483:2016 STMicroelectronics Fingerprint Reader
Der Leser wird angesprochen, die Fingerprofile erstellt, alles kein Problem.
dirk@T60:~$ sudo fprintd-enroll dirk
Using device /net/reactivated/Fprint/Device/0
Enrolling right-index-finger finger.
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-completed
Wenn ich die Profile aber nutzen möchte, tut das fprintd so, als gäbe es den Leser nicht mehr.
dirk@T60:~$ sudo fprintd-verify dirk
Using device /net/reactivated/Fprint/Device/0
Listing enrolled fingers:
- #0: right-index-finger
Verify started!
Verifying: right-index-finger
Verify result: verify-disconnected (done)
Ich könnte es ja verstehen, wenn der Leser wie beim T480 gar nicht erst erkannt wird. Im www komme ich leider auch nicht weiter.
Hat von Euch jemand den STMicroelectronics Fingerprint Reader in Betrieb?
Ich habe den Aufruf zum Verifizieren des Fingerprint noch einmal gestartet.
/var/log/user.log hat notiert:
Ok, die beiden verstehen sich einfach nicht, oder?
Moin,
falls es doch jemanden interessiert:
Der Fingerprint-Reader funktioniert einwandfrei mit den älteren Versionsständen fprintd_0.8.1-1_amd64 und libfprint0_0.8.2-3_amd64.
Die Fingerprofile werden erstellt und verifiziert. Diese liegen unter /var/lib/fprint/USERNAME
sudo ls -al /var/lib/fprint/dirk/
insgesamt 12
drwx------ 3 root root 4096 15. Mär 08:21 .
drwxr-xr-x 4 root root 4096 15. Mär 08:21 ..
drwx------ 3 root root 4096 15. Mär 08:21 0001
Mit der älteren Fingerprintsoftware läßt sich jedoch die Authentifizierung mittels pam-auth-update nicht aktivieren.
An dieser Stelle auch eine kleine Warnung vor dem Unfug, den man im www zur Datei /etc/pam.d/common-auth findet.
Trägt man, wie an anderer Stelle zu lesen ist, die Zeile...
auth sufficient pam_fprintd.so
...in /etc/pam.d/common-auth ein, sperrt man nebenbei seine administrativen Anmeldungen, deren Kennwörter nicht mehr akzeptiert werden. Der Fingersensor wird auf diese Weise auch nicht als Authentifizierung aktiviert.
Der im ersten Beitrag gesetzte Eintrag in common-auth funktioniert leider mit dem älteren Softwarestand zumindest unter Debian 11 nicht:
auth [success=2 default=ignore] pam_fprintd.so max_tries=3 timeout=10 # debug
Wenn Ihr die Rettungssitzung starten müßt, deaktiviert vorher Bluetooth im BIOS, sonst beißt sich der abgesicherte Start an Bluetooth fest.
Abschließender Stand: Der Fingersensor funktioniert, der zur Nutzung funktionierende (!) und erforderliche Eintrag in common-auth ist nicht bekannt.
Der Fingerabdruckleser funktioniert technisch einwandfrei. In den letzten Versionen der Fingerprint- Software haben sich aber gravierende Fehler eingeschlichen, die offenbar für die alten Abdruckleser des T60 und ähnlicher Modelle nicht mehr gefixt werden. So erstellt das aktuelle fprintd in Kombination mit libprint2-2 durch Auslesen des Fingerscanners biometrische Erkennungsmuster, die es anschließend selbst nicht mehr lesen kann... Dies rührt aus einem Formatwechsel der biometrischen Dateien von fprintd0 zu fprintf1.9.
Lösung:
Installiert daher die old-stable Fingerprint- Software aus dem Debian Buster Repsositroy. Die Funktion des Scanners ist getestet mit: fprintd_0.8.1-1_amd64.deb, libfprint0_0.8.2-3_amd64.deb, libpam-fprintd_0.8.1-1_amd64.deb
fprintd-> Fingerprintsoftware
Libfprint -> Bibliotheken für fprintd
Libpam-fprintd -> entpackt die fprint PAM- Authentifizering unter /lib/x86_64-linux-gnu/security/
Erstellt nun ein Fingerabdruckprofil gemäß Doku zu fprintd:
fprintd-enroll –f Gewüschten_Finger_angeben Anmeldename
fprintd-enroll –f right-middle-finger dirk
Diese können mittels fprintd-verify Anmeldename verifiziert werden. Zusätzlich kann / sollte ein Fingerprofil für den Superuser erstellt werden. Hierzu fprintd mittels sudo ausführen. Eine Erstellung eines Profiles direkt unter Anmeldung root schlägt zumindest bei mir fehl.
sudo fprintd-enroll –f right-middle-finger
Ihr findet nun unter /var/fprint/ zwei Profile. Eines von root und eines der lokalen Anmeldung.
Bitte Vorsicht beim Scharfschalten der PAM-Authentifizierung. Meldet Euch doppelt an dem Rechner an, die zweite Sitzung neben der grafischen Anmeldung gleich als root. Startet auch grafisch mehre Terminals zum Testen.
Tragt nun in /etc/pam.d/common-auth pam_fprint.so direkt in der ersten Sektion und löscht NIEMALS die Unix- Authentifizierung dabei!
# here are the per-package modules (the "Primary" block)
auth sufficient /lib/x86_64-linux-gnu/security/pam_fprintd.so max_tries=1 timeout=10 # debug
auth [success=1 default=ignore] pam_unix.so nullok try_first_pass
Die Anmeldung via Sensor ist entsprechend ausreichend (sufficient). Max_tries bedeutet: 1 Durchlauf a 10 Sekunden.
Unter 32 Bit Debian lautet der Pfad zu den PAM-Dateien anders. Daher ist hier richtig:
auth sufficient /lib/i386-linux-gnu/security//pam_fprintd.so max_tries=1 timeout=10 # debug
Die Datei common-auth nun speichern und NICHT schließen, da in einem weiteren Terminal nun getestet werden sollte. Geht hierbei etwas schief, lässt sich die neue Konfiguration sofort rückgängig machen.
So sollte es aussehen:
dirk@T60:~$ sudo test
Wischen Sie mit Ihrem rechten Mittelfinger über den Fingerabdruckleser
dirk@T60:~$
Sofern eine zweite Root- Anmeldung offen ist, sollte man sich nun abmelden. LightDM begrüßt einen dann mit der Aufforderung, den vorher definierten Finger über den Sensor zu streichen. Wenn dieses Funktioniert, ist alles gut verlaufen. Andernfalls ist hoffentlich noch die root Anmeldung offen...
Wenn alles richtig gemacht und getestet hat, hat nun auch nach einem Neustart nichts zu befürchten. Mit Eingriffe in den PAM-Authentifizierung muss man sehr vorsichtig sein und sich vorher über Notfallszenarien Gedanken gemacht haben.
Links:
https://packages.debian.org/buster/fprintd
https://packages.debian.org/buster/libpam-fprintd
https://packages.debian.org/buster/libfprint0
http://ftp.de.debian.org/debian/pool/main/f/fprintd/
http://ftp.de.debian.org/debian/pool/main/libf/libfprint/
https://wiki.ubuntuusers.de/fprint/
derzeit sitze ich etwas ratlos an meinem T60 und versuche die Probleme zu lösen, die es ohne Computer nicht gäbe.
Konkret habe ich ein T60 mit Debian 11 und freue mich über die scheinbare Treiberunterstützung des internen Fingerprint Lesers:
dirk@T60:~$ lsusb
Bus 004 Device 003: ID 0483:2016 STMicroelectronics Fingerprint Reader
Der Leser wird angesprochen, die Fingerprofile erstellt, alles kein Problem.
dirk@T60:~$ sudo fprintd-enroll dirk
Using device /net/reactivated/Fprint/Device/0
Enrolling right-index-finger finger.
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-completed
Wenn ich die Profile aber nutzen möchte, tut das fprintd so, als gäbe es den Leser nicht mehr.
dirk@T60:~$ sudo fprintd-verify dirk
Using device /net/reactivated/Fprint/Device/0
Listing enrolled fingers:
- #0: right-index-finger
Verify started!
Verifying: right-index-finger
Verify result: verify-disconnected (done)
Ich könnte es ja verstehen, wenn der Leser wie beim T480 gar nicht erst erkannt wird. Im www komme ich leider auch nicht weiter.
Hat von Euch jemand den STMicroelectronics Fingerprint Reader in Betrieb?
Beitrag automatisch zusammengeführt:
Ich habe den Aufruf zum Verifizieren des Fingerprint noch einmal gestartet.
/var/log/user.log hat notiert:
Ok, die beiden verstehen sich einfach nicht, oder?
Beitrag automatisch zusammengeführt:
Moin,
falls es doch jemanden interessiert:
Der Fingerprint-Reader funktioniert einwandfrei mit den älteren Versionsständen fprintd_0.8.1-1_amd64 und libfprint0_0.8.2-3_amd64.
Die Fingerprofile werden erstellt und verifiziert. Diese liegen unter /var/lib/fprint/USERNAME
sudo ls -al /var/lib/fprint/dirk/
insgesamt 12
drwx------ 3 root root 4096 15. Mär 08:21 .
drwxr-xr-x 4 root root 4096 15. Mär 08:21 ..
drwx------ 3 root root 4096 15. Mär 08:21 0001
Mit der älteren Fingerprintsoftware läßt sich jedoch die Authentifizierung mittels pam-auth-update nicht aktivieren.
An dieser Stelle auch eine kleine Warnung vor dem Unfug, den man im www zur Datei /etc/pam.d/common-auth findet.
Trägt man, wie an anderer Stelle zu lesen ist, die Zeile...
auth sufficient pam_fprintd.so
...in /etc/pam.d/common-auth ein, sperrt man nebenbei seine administrativen Anmeldungen, deren Kennwörter nicht mehr akzeptiert werden. Der Fingersensor wird auf diese Weise auch nicht als Authentifizierung aktiviert.
Der im ersten Beitrag gesetzte Eintrag in common-auth funktioniert leider mit dem älteren Softwarestand zumindest unter Debian 11 nicht:
auth [success=2 default=ignore] pam_fprintd.so max_tries=3 timeout=10 # debug
Wenn Ihr die Rettungssitzung starten müßt, deaktiviert vorher Bluetooth im BIOS, sonst beißt sich der abgesicherte Start an Bluetooth fest.
Abschließender Stand: Der Fingersensor funktioniert, der zur Nutzung funktionierende (!) und erforderliche Eintrag in common-auth ist nicht bekannt.
Beitrag automatisch zusammengeführt:
Der Fingerabdruckleser funktioniert technisch einwandfrei. In den letzten Versionen der Fingerprint- Software haben sich aber gravierende Fehler eingeschlichen, die offenbar für die alten Abdruckleser des T60 und ähnlicher Modelle nicht mehr gefixt werden. So erstellt das aktuelle fprintd in Kombination mit libprint2-2 durch Auslesen des Fingerscanners biometrische Erkennungsmuster, die es anschließend selbst nicht mehr lesen kann... Dies rührt aus einem Formatwechsel der biometrischen Dateien von fprintd0 zu fprintf1.9.
Lösung:
Installiert daher die old-stable Fingerprint- Software aus dem Debian Buster Repsositroy. Die Funktion des Scanners ist getestet mit: fprintd_0.8.1-1_amd64.deb, libfprint0_0.8.2-3_amd64.deb, libpam-fprintd_0.8.1-1_amd64.deb
fprintd-> Fingerprintsoftware
Libfprint -> Bibliotheken für fprintd
Libpam-fprintd -> entpackt die fprint PAM- Authentifizering unter /lib/x86_64-linux-gnu/security/
Erstellt nun ein Fingerabdruckprofil gemäß Doku zu fprintd:
fprintd-enroll –f Gewüschten_Finger_angeben Anmeldename
fprintd-enroll –f right-middle-finger dirk
Diese können mittels fprintd-verify Anmeldename verifiziert werden. Zusätzlich kann / sollte ein Fingerprofil für den Superuser erstellt werden. Hierzu fprintd mittels sudo ausführen. Eine Erstellung eines Profiles direkt unter Anmeldung root schlägt zumindest bei mir fehl.
sudo fprintd-enroll –f right-middle-finger
Ihr findet nun unter /var/fprint/ zwei Profile. Eines von root und eines der lokalen Anmeldung.
Bitte Vorsicht beim Scharfschalten der PAM-Authentifizierung. Meldet Euch doppelt an dem Rechner an, die zweite Sitzung neben der grafischen Anmeldung gleich als root. Startet auch grafisch mehre Terminals zum Testen.
Tragt nun in /etc/pam.d/common-auth pam_fprint.so direkt in der ersten Sektion und löscht NIEMALS die Unix- Authentifizierung dabei!
# here are the per-package modules (the "Primary" block)
auth sufficient /lib/x86_64-linux-gnu/security/pam_fprintd.so max_tries=1 timeout=10 # debug
auth [success=1 default=ignore] pam_unix.so nullok try_first_pass
Die Anmeldung via Sensor ist entsprechend ausreichend (sufficient). Max_tries bedeutet: 1 Durchlauf a 10 Sekunden.
Unter 32 Bit Debian lautet der Pfad zu den PAM-Dateien anders. Daher ist hier richtig:
auth sufficient /lib/i386-linux-gnu/security//pam_fprintd.so max_tries=1 timeout=10 # debug
Die Datei common-auth nun speichern und NICHT schließen, da in einem weiteren Terminal nun getestet werden sollte. Geht hierbei etwas schief, lässt sich die neue Konfiguration sofort rückgängig machen.
So sollte es aussehen:
dirk@T60:~$ sudo test
Wischen Sie mit Ihrem rechten Mittelfinger über den Fingerabdruckleser
dirk@T60:~$
Sofern eine zweite Root- Anmeldung offen ist, sollte man sich nun abmelden. LightDM begrüßt einen dann mit der Aufforderung, den vorher definierten Finger über den Sensor zu streichen. Wenn dieses Funktioniert, ist alles gut verlaufen. Andernfalls ist hoffentlich noch die root Anmeldung offen...
Wenn alles richtig gemacht und getestet hat, hat nun auch nach einem Neustart nichts zu befürchten. Mit Eingriffe in den PAM-Authentifizierung muss man sehr vorsichtig sein und sich vorher über Notfallszenarien Gedanken gemacht haben.
Links:
https://packages.debian.org/buster/fprintd
https://packages.debian.org/buster/libpam-fprintd
https://packages.debian.org/buster/libfprint0
http://ftp.de.debian.org/debian/pool/main/f/fprintd/
http://ftp.de.debian.org/debian/pool/main/libf/libfprint/
https://wiki.ubuntuusers.de/fprint/
Zuletzt bearbeitet: