La pen drive è ormai diventata come il cellulare, impossibile non averla, ma siete sicuri che serva solo ad immagazzinare dati? In realtà ci sono altri utilizzi come ad esempio utilizzarla come dispositivo hardware esterno per autenticarsi sul proprio PC!

Tutto è partito dal problema di autenticarsi con utenze di Active Directory (Windows Server 2003) su sistemi GNU/Linux, nello specifico Ubuntu 10.04 sfruttando moduli Kerberos 5. Studiando il problema a fondo l'ho risolto notando che i sistemi GNU/Linux utilizzano i moduli PAM (Pluggable Authentication Module) per autenticarsi; in particolare un modulo, denominato pamusb, permette l'autenticazione mediate un dispositivo usb, come una pen drive, senza inserire la password o addirittura rafforzare l'autenticazione sfruttando entrambe le tecnologie: password più pen drive.

Non è male l'idea, no? Ma vediamo come procedere. Intanto rispolveriamo una vecchia pen drive da 64 MB, archiviata in qualche cassetto...

Quello che segue è stato provato in ambiente test, su macchina virtuale Ubuntu 10.04 Lucid Lynx sfruttando la piattaforma VirtualBox nella versione 4.0.8, la più recente.

Il primo passo è installare i moduli necessari quindi diamo:

sudo apt-get install pamusb-tools

seguirà la procedura di installazione, dove verrà richiesto di aggiungere altri pacchetti di dipendenze; poi inseriamo la nostra pen drive, ed una volta riconosciuta dal sistema digitiamo:

sudo pamusb-conf –add-device=SEALS

naturalmente è possibile utilizzare qualsiasi nome al posto di SEALS, e scegliere quale dispositivo (al momento collegato) associare al nostro utente, altrimenti digitare Y.

Successivamente dobbiamo associare l'utente mediante il comando:

sudo pamusb-conf –add-user=$USER

in questo caso ho utilizzato la variabile $USER che restituisce l'utente attualmente in uso, in modo tale da non sbagliare, quindi accettiamo con Y.

A questo punto non ci resta che verificare l'avvenuta associazione del dispositivo usb all'utente con il comando:

sudo pamusb-check $USER

e modificare il file /etc/pam.d/common-auth con permessi di root, non prima però di aver creato una copia di backup (non si sa mai...) inserendo la seguente riga:

auth required pam_usb.so

immediatamente prima della dicitura:

auth [success=1 default=ignore] pam_unix.so nullok_secure

Come avrete notato ho optato per il livelo di autenticazione required che prevede l'inserimento della password utente associato al dispositivo e il dispositivo usb, in alternativa è possibile scegliere sufficient dove non verrà chiesta la password dell'utente ma è condizione necessaria l'inserimento del dispositivo usb; quindi salvate il file e terminate la sessione.

Il gioco è fatto provate ora a rimuovere la pen drive ed otterrete una autenticazione fallita; rimessa la pen-drive, invece, attendete qualche secondo, giusto il tempo di riconoscimento da parte del sistema, ed effettuate dinuovo l'accesso...

Buon divertimento!

P.S.: dimenticavo se riscontrate problemi o la configurazione non è andata a buon fine, il sistema vi chiederà un dispositivo che non trova, quindi accedete in modalità di ripristino e modificate il file precedentemente segnalato. Riprovare seguendo la guida... io ci sono riuscito al primo tentativo!