Debian Fingerprint

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Fingerabdruck-Authentifizierung unter Debian (Fingerprint)

Überblick

Dieser Artikel beschreibt die Einrichtung und Nutzung der Fingerabdruck-Authentifizierung unter Debian mit fprintd und PAM. Die Anleitung entspricht der offiziellen Debian-Dokumentation und ist für GNOME (GDM), sudo und Screen-Unlock geeignet. Passwort bleibt immer als Fallback erhalten.

Voraussetzungen

  • Debian mit systemd
  • Unterstützter Fingerabdrucksensor (z. B. Goodix / ELAN)
  • Lokaler Benutzer (kein reiner LDAP-Only-User)

Benötigte Pakete installieren

  • apt update
  • apt install fprintd libpam-fprintd

Fingerabdrucksensor prüfen

  • fprintd-list <BENUTZER>

Erwartete Ausgabe:

  • Gerät wird gefunden
  • Hinweis, dass noch keine Finger eingelernt sind

Fingerabdruck einlernen

  • fprintd-enroll <BENUTZER>

Hinweise:

  • Finger mehrfach auf den Power-Button / Sensor legen
  • Unterschiedliche Winkel verwenden
  • Meldungen wie „retry“ oder „remove-and-retry“ sind normal
  • Erfolgreich bei „enroll-completed“

PAM-Integration systemweit aktivieren

Empfohlener Weg unter Debian:

  • pam-auth-update

Im Dialog:

  • „Fingerprint authentication“ aktivieren
  • alle anderen Optionen unverändert lassen
  • bestätigen

Fingerprint für sudo aktivieren (optional, explizit)

Standardmäßig kann sudo Fingerprint nutzen, wenn PAM korrekt gesetzt ist. Falls nicht, manuelle Ergänzung:

  • nano /etc/pam.d/sudo

Ganz oben einfügen: 

auth sufficient pam_fprintd.so

Darunter muss weiterhin stehen: 

@include common-auth

Funktion testen

  • sudo -k
  • sudo id

Hinweis:

  • Unter GNOME/Wayland erscheint oft kein Text
  • Sobald sudo „hängt“, Finger auf den Sensor legen
  • Bei Fehlschlag erfolgt Passwort-Fallback

Screen-Lock (nach Login)

  • Bildschirm sperren (Super+L)
  • Finger auf Sensor legen

Erwartung:

  • Entsperren per Fingerabdruck

Login-Screen (GDM)

Wichtige Einschränkung:

  • Fingerprint funktioniert häufig NICHT beim ersten Login nach dem Boot
  • Das ist kein Fehler der Konfiguration
  • GNOME/GDM limitiert Fingerprint aus Sicherheitsgründen

Prüfen:

  • gsettings get org.gnome.login-screen enable-fingerprint-authentication

Erwartet:

  • true

Trotzdem kann der Login weiterhin nur per Passwort möglich sein. Das entspricht dem Debian- und GNOME-Design.

NOPASSWD und Fingerprint

Wenn sudo mit NOPASSWD konfiguriert ist:

  • sudo fragt weder Passwort noch Fingerprint ab
  • PAM wird nicht aufgerufen
  • Fingerprint greift dort nicht

Nach Entfernen von NOPASSWD:

  • PAM greift wieder
  • Fingerprint kann genutzt werden

Sicherheitshinweise

  • Fingerprint ist Komfort, kein Ersatz für Passwörter
  • Passwort-Fallback sollte immer aktiv bleiben
  • Keine erzwungene Fingerprint-only-Konfiguration empfohlen

Typische Fehler

  • Fingerprint funktioniert bei sudo nicht → pam_fprintd.so fehlt in PAM
  • Keine Ausgabe bei fprintd → fprintd/libpam-fprintd nicht installiert
  • Sensor wird erkannt, aber Login geht nicht → GDM-Einschränkung, kein Bug

Fazit

  • Fingerprint unter Debian ist offiziell unterstützt
  • sudo und Screen-Unlock funktionieren zuverlässig
  • Erst-Login per Fingerprint ist nicht garantiert
  • Konfiguration entspricht Debian Best Practice
Abgerufen von „http://wiki.ixheim.de/index.php?title=Debian_Fingerprint&oldid=66241