1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • Nutzung einer Smartcard nach SSH Login

    From Mechtilde@21:1/5 to All on Sun Nov 27 18:50:02 2022
    Hallo zusammen,

    um verscheiden Anwendungen testen und gegebenenfalls auch nutzen zu
    können, habe ich diese in verschiedenen virtuellen Maschinen
    installiert. Damit ist es mir dann auch möglich, zu unterschiedlichen
    Zeiten, die einzelnen virtuellen Maschinen zu aktualisieren.

    Dies geschieht meist über einen Zugriff per SSH. Das funktioniert auch
    alles.

    Nun möchte ich auf einer solchen Maschine auch direkt Daten mit GnuPG/Smartcard signieren können, ohne die Datei erst auf den Host herunterladen zu müssen, um sie dann danach wieder auf der VM abzulegen.

    Die Smartcard ist in diesem Fall ein Nitrokey. Auf dem Host funktioniert
    der Nitrokey ohne Probleme.

    Was habe ich bereits gemacht?

    Auf der VM ist installiert:
    - scdaemon
    - pcscd
    - libccid

    Wie kann ich die Smartcard auf der entfernten Maschine nutzen?

    Vielen Dank schon mal

    Mechtilde

    --
    Mechtilde Stehmann
    ## Debian Developer
    ## PGP encryption welcome
    ## F0E3 7F3D C87A 4998 2899 39E7 F287 7BBA 141A AD7F

    --
    Mechtilde Stehmann
    ## Apache OpenOffice
    ## Freie Office Suite für Linux, MacOSX, Windows und OS/2
    ## Debian Developer
    ## PGP encryption welcome
    ## F0E3 7F3D C87A 4998 2899 39E7 F287 7BBA 141A AD7F

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stefan Baur@21:1/5 to All on Sun Nov 27 19:00:01 2022
    Am 27.11.22 um 18:12 schrieb Mechtilde:
    Wie kann ich die Smartcard auf der entfernten Maschine nutzen?

    Du wirst das USB-Device irgendwie durchreichen müssen. Wie das geht,
    hängt von dem von Dir verwendeten Virtualisierer ab.

    Leider hast Du uns den nicht verraten und die Glaskugeln sind gerade
    alle zur Reparatur. ;)

    Gruß
    Stefan

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mechtilde@21:1/5 to All on Sun Nov 27 19:30:01 2022
    Hallo Stefan,

    Am 27.11.22 um 18:51 schrieb Stefan Baur:
    Am 27.11.22 um 18:12 schrieb Mechtilde:
    Wie kann ich die Smartcard auf der entfernten Maschine nutzen?

    Du wirst das USB-Device irgendwie durchreichen müssen. Wie das geht,
    hängt von dem von Dir verwendeten Virtualisierer ab.

    Leider hast Du uns den nicht verraten und die Glaskugeln sind gerade
    alle zur Reparatur. ;)

    Wenn ich mich per SSH auf der Maschine einlogge, welche Rolle spielt
    dabei die Virtualisierung?

    Wie kann ich USB per SSH durchreichen?

    Aber in meinem Fall ist es einmal auf einem entfernten Rechenr Proxmox,
    einmal auf dem lokalen Host direkt per LXC. Aber auch KVM wäre möglich.
    Gruß

    Gruß
    Stefan


    --
    Mechtilde Stehmann
    ## Apache OpenOffice
    ## Freie Office Suite für Linux, MacOSX, Windows und OS/2
    ## Debian Developer
    ## PGP encryption welcome
    ## F0E3 7F3D C87A 4998 2899 39E7 F287 7BBA 141A AD7F

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stefan Baur@21:1/5 to All on Sun Nov 27 19:30:01 2022
    Am 27.11.22 um 19:21 schrieb Mechtilde:
    Wenn ich mich per SSH auf der Maschine einlogge, welche Rolle spielt
    dabei die Virtualisierung?

    Wie kann ich USB per SSH durchreichen?

    Es gibt USB-Forwarding via IP
    <https://packages.debian.org/de/bullseye/usbip>, vermutlich müsstest Du
    das dann tunneln. Und aus Sicherheitsgründen auf localhost binden. Das
    klingt aber ziemlich haarig.


    Aber in meinem Fall ist es einmal auf einem entfernten Rechenr Proxmox, einmal auf dem lokalen Host direkt per LXC. Aber auch KVM wäre möglich.

    Auf dem lokalen Rechner dürfte es per Durchreichen deutlich einfacher
    gehen, auch wenn ich Dir für die beiden genannten Virtualisierer nicht
    sagen kann, wie es genau geht.

    Gruß
    Stefan

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Heiko Schlittermann@21:1/5 to All on Sun Nov 27 20:20:01 2022
    Mechtilde <[email protected]> (So 27 Nov 2022 18:12:03 CET):
    GnuPG/Smartcard signieren können, ohne die Datei erst auf den Host herunterladen zu müssen, um sie dann danach wieder auf der VM abzulegen.

    Die Smartcard ist in diesem Fall ein Nitrokey. Auf dem Host funktioniert der Nitrokey ohne Probleme.

    Du hast vermutlich auf dem Client, wo die Smartcard funktioniert, einen GPG_AGENT, der seine Dienste über einen Socket bereitstellt. Diesen
    kannst Du mit der SSH weitergeben (ich glaube, neuere SSH können auch Unix-Domain-Sockets forwarden), ansonsten hilft Dir Socat weiter.
    --
    Heiko

    -----BEGIN PGP SIGNATURE-----

    iQEzBAABCgAdFiEE0L/WueylaUpvFJ3Or0zGdqa2wUIFAmODtYUACgkQr0zGdqa2 wULDZwf/Yq+EYmJOMYZm1KYEspfam6I3VBxUhpz1hqAFwXyU68XWD+0ZYUYmQlVd aBbKEZMEn7ucbVJRLPLrZQH6kkYAcEp6NmKu4t0kaVNfmohfPOdNskF2Nwywaj4Y R484DJU1FtMKJgXEkSkNkLbIINFblJCslGuJQqxz9eMcY0OiQz4wUU6Oykwf2FlV un1Yx8YYmWWgIDi0jdWjge+P2YV4eYc/9kz/SSRHnzvoX0SHS0LkFGCbeH+IU152 hq2vhlruiacWbxNZ8UvTGgbCMcVyxbtZetXnLkPKy5mfdaZE6a6AhSoenmlNwIMs 4zBj7zqcauzf9sJALxP1xZzSSpAr1Q==
    =1Te4
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)