Fedora

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun

Fedora (fedoraproject.org) on Red Hat yrityksen tekemä, yksi suosituimmista Linux jakeluista. Sen ominaisuuksia on kehityksen uusimpien versioiden integrointi, RPM-paketinhallinta ohjelmistojen asennuksessa ja tiukka sitoutuminen avoimiin lisensseihin. Red Hat käyttää Fedoraa ja avoimien ohjelmien yhteisöä hyväkseen kehittääkseen kaupallisesti tuettua Enterprise Linuxiaan.


Kortit ja lukijat

Paketteja:

  • pcsc-lite
  • opensc
  • fineid-ca-certificates valtion juurivarmenteet.
  • pcsc-lite-acsccid on ACS-valmistajan CCID-ajuripaketti.
  • gnome-keyring ja seahorse varmennevarsto GUI

Uusien korttien ATR on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa.

DigiSign Client

pääsivu: DigiSign Client

Ohjelmapaketti ei ole Digiviraston tukema, mutta Red Hat Enterprise Linux paketin (mpollux-digisign-client-for-vrk huokaus) asennus onnistuu nykyisiin Fedora versioihin (2021-02).

On pyydetty, että laittaisivat päivitykset repoon, mutta virkamiehiä ei kiinnostanut, joten jokainen voi sitten laittaa Fedoraan allaolevan. Uusia versioita voi ilmoitella digivirasto@digivirasto.fi osoitteeseen :) Tehdään release-file myöhemmin.

[digivirasto]
name=Digivirasto for Fedora $releasever - $basearch
failovermethod=priority
baseurl=http://digivirasto.fi/repositories/fedora/$releasever/$basearch/
enabled=1
cost=200
metadata_expire=7d
gpgcheck=0
gpgkey=file:///etc/pki/
skip_if_unavailable=False

DigiSign ohjelman tiedostot ovat ~/.digisign/ hakemistossa ja se kirjoittaa logia ~/.digisign_logs/DigiSignApplication.log tiedostoon.

Käynnistysscripti /usr/bin/DigiSignApplication asentaa joka käynnistyksessä pkcs11-moduulit NSS ja Mozilla-perheen sovelluksiin.

Havaintoja:

  • Fedorassa p11-kit on nykyään pkcs11-rajapinta sovelluksissa ja Digisign Client on konfliktissa sen kanssa.
  • pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02)
  • PUK-koodin käyttö ei toimi, tulee Information: Change the PIN before using card! virhe. (2021-02)
  • ohjelman nimi on omituinen, väärin käytäntöjä
  • käyttöohjeessa on virheitä lähes joka kappaleessa. Tekijä ja ohjelman tilaaja ei ilmeisesti tunne käyttöjärjestelmää ollenkaan.

p11-kit ja fedora > 29

Fedora 29 ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana p11-kit paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti Firefox-selaimeen. Kyseinen pluginin tarkoitus on toimia jonkinsortin abstraktiona eri varmennevarastoille, mutta ainakaan oletuksena se ei toimi oikein koska se ei kunnioita varmenteiden NonRepudiation lippuja ja siten vaatii yksinkertaisella tunnistamisella kaikille lyötämilleen - myös tapahtumaan liittymättymättömille varmenteille PIN-tunnusluvut.

Paketin riippuvuussotku on sellainen himmeli, että ennen kuin asia korjataan asianmukaisella tavalla, järkevintä on poistaa koko plugin komennolla:

# rm -rf /usr/lib64/p11-kit-proxy.so

jos sitä ei tarvitse mihinkään kyseisessä laittesssa. Selaimen uudelleenkäynnistymisen yhteydessä normaali toiminta palautuu.

Aiheesta muualla:

Selaimen allekirjoitustuki

NPAPI:a käyttävä Firefox Token Signing plugin (npesteid-firefox-plugin.so) löytyy firefox-esteid-plugin RPM-paketista.



Katso myös