Thomas.will: Die Seite wurde neu angelegt: „= Fingerabdruck-Authentifizierung unter Debian (Fingerprint) = == Überblick == Dieser Artikel beschreibt die Einrichtung und Nutzung der Fingerabdruck-Authen…“

2026-01-10T12:28:15Z

Die Seite wurde neu angelegt: „= Fingerabdruck-Authentifizierung unter Debian (Fingerprint) = == Überblick == Dieser Artikel beschreibt die Einrichtung und Nutzung der Fingerabdruck-Authen…“

Neue Seite

= Fingerabdruck-Authentifizierung unter Debian (Fingerprint) =

== Überblick ==
Dieser Artikel beschreibt die Einrichtung und Nutzung der Fingerabdruck-Authentifizierung unter Debian mit fprintd und PAM.
Die Anleitung entspricht der offiziellen Debian-Dokumentation und ist für GNOME (GDM), sudo und Screen-Unlock geeignet.
Passwort bleibt immer als Fallback erhalten.

== Voraussetzungen ==
* Debian mit systemd
* Unterstützter Fingerabdrucksensor (z. B. Goodix / ELAN)
* Lokaler Benutzer (kein reiner LDAP-Only-User)

== Benötigte Pakete installieren ==
* apt update
* apt install fprintd libpam-fprintd

== Fingerabdrucksensor prüfen ==
* fprintd-list <BENUTZER>

Erwartete Ausgabe:
* Gerät wird gefunden
* Hinweis, dass noch keine Finger eingelernt sind

== Fingerabdruck einlernen ==
* fprintd-enroll <BENUTZER>

Hinweise:
* Finger mehrfach auf den Power-Button / Sensor legen
* Unterschiedliche Winkel verwenden
* Meldungen wie „retry“ oder „remove-and-retry“ sind normal
* Erfolgreich bei „enroll-completed“

== PAM-Integration systemweit aktivieren ==
Empfohlener Weg unter Debian:

* pam-auth-update

Im Dialog:
* „Fingerprint authentication“ aktivieren
* alle anderen Optionen unverändert lassen
* bestätigen

== Fingerprint für sudo aktivieren (optional, explizit) ==
Standardmäßig kann sudo Fingerprint nutzen, wenn PAM korrekt gesetzt ist.
Falls nicht, manuelle Ergänzung:

* nano /etc/pam.d/sudo

Ganz oben einfügen:
<pre>
auth sufficient pam_fprintd.so
</pre>

Darunter muss weiterhin stehen:
<pre>
@include common-auth
</pre>

== Funktion testen ==
* sudo -k
* sudo id

Hinweis:
* Unter GNOME/Wayland erscheint oft kein Text
* Sobald sudo „hängt“, Finger auf den Sensor legen
* Bei Fehlschlag erfolgt Passwort-Fallback

== Screen-Lock (nach Login) ==
* Bildschirm sperren (Super+L)
* Finger auf Sensor legen

Erwartung:
* Entsperren per Fingerabdruck

== Login-Screen (GDM) ==
Wichtige Einschränkung:
* Fingerprint funktioniert häufig NICHT beim ersten Login nach dem Boot
* Das ist kein Fehler der Konfiguration
* GNOME/GDM limitiert Fingerprint aus Sicherheitsgründen

Prüfen:
* gsettings get org.gnome.login-screen enable-fingerprint-authentication

Erwartet:
* true

Trotzdem kann der Login weiterhin nur per Passwort möglich sein.
Das entspricht dem Debian- und GNOME-Design.

== NOPASSWD und Fingerprint ==
Wenn sudo mit NOPASSWD konfiguriert ist:
* sudo fragt weder Passwort noch Fingerprint ab
* PAM wird nicht aufgerufen
* Fingerprint greift dort nicht

Nach Entfernen von NOPASSWD:
* PAM greift wieder
* Fingerprint kann genutzt werden

== Sicherheitshinweise ==
* Fingerprint ist Komfort, kein Ersatz für Passwörter
* Passwort-Fallback sollte immer aktiv bleiben
* Keine erzwungene Fingerprint-only-Konfiguration empfohlen

== Typische Fehler ==
* Fingerprint funktioniert bei sudo nicht → pam_fprintd.so fehlt in PAM
* Keine Ausgabe bei fprintd → fprintd/libpam-fprintd nicht installiert
* Sensor wird erkannt, aber Login geht nicht → GDM-Einschränkung, kein Bug

== Fazit ==
* Fingerprint unter Debian ist offiziell unterstützt
* sudo und Screen-Unlock funktionieren zuverlässig
* Erst-Login per Fingerprint ist nicht garantiert
* Konfiguration entspricht Debian Best Practice

Debian Fingerprint - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= Fingerabdruck-Authentifizierung unter Debian (Fingerprint) = == Überblick == Dieser Artikel beschreibt die Einrichtung und Nutzung der Fingerabdruck-Authen…“