YubiKey en toetsenbordindeling

Zodra je een YubiKey in een USB port steekt gaat je systeem alle aanwezige toetsenborden opnieuw initialiseren. Op zich geen probleem ware het niet dat ik op het werk een Sun Type 7 toetsenbord gebruik met een afwijkende indeling. Deze stel ik in bij het inloggen omdat Ubuntu dit toetsenbord niet correct detecteert, Ubuntu ziet het als een gewoon toetsenbord (pc105). En als ik dit soort dingen als gewone user in kan stellen dan doe ik dat. Als ik nu dus echter m’n YubiKey wil gebuiken dan worden alle toetsenbordinstellingen gereset en krijgt mijn Sun toetsenbord weer de standaard indeling toegewezen.

In dit geval ontkom je er dus niet aan om voor het hele systeem de toetsenbordindeling in te stellen. Dit doe je onder Ubuntu in het bestand /etc/default/keyboard. Bij mij staat er nu het volgende in:

XKBMODEL="sun6"
XKBLAYOUT="us"
XKBVARIANT="altgr-intl"
XKBOPTIONS="ctrl:nocaps"

Voor de werking van de YubiKey maakt dit niet uit. Uiteraard kun je ook moeilijk gaan doen met udev of bestandjes aanmaken in /etc/X11/xorg.conf.d/ maar het aanpassen van /etc/default/keyboard (of sudo dpkg-reconfigure keyboard-configuration draaien, komt op hetzelfde neer) is toch wel het snelst en het makkelijkst.

YubiKey en toetsenbordindeling

Ik wilde een BTO (en misschien nog steeds wel)

Wil graag een nieuwe notebook en mijn oog was gevallen op een BTO. Dat is best een duur apparaat dus wilde weten of Ubuntu 12.04 er op draait en wat voor FireWire controller er in zit.

Kreeg al vrij snel een mailtje terug. Ze hebben bij BTO géén ervaring met Linux en ze wisten me ook niet te vertellen wat voor controller er precies in zit. Ja, een Via, maar wat voor Via dan? Probleem met Via is dat bijv. een VT6315 wel goed werkt voor audio en een VT6306 een stuk minder of in sommige gevallen zelfs helemaal niet.

Misschien kom ik uiteindelijk wel op een BTO uit maar vooralsnog ga ik verder zoeken naar een andere goeie kandidaat.

Ik wilde een BTO (en misschien nog steeds wel)

Nieuwe FFADO versie op komst

Er zit een nieuwe FFADO release aan te komen, FFADO 2.1.0.

De laatste puntjes worden op de i gezet en hopelijk wordt de nieuwe versie begin volgende week gereleased. Naast dat er een sloot aan nieuwe devices ondersteund worden in deze versie zijn er ook een hoop bugs gefixed en is er de nodige aandacht besteed aan ffado-mixer om deze goed werkende te krijgen met bijvoorbeeld de nieuwere Focusrites (de PRO 14, 24 en 40).

Voor mij persoonlijk verandert er niet veel, mijn Focusrite Saffire PRO 40 werkt feilloos onder Ubuntu 12.04. Maar in de toekomst zou ik wel graag een RME Fireface 400 aan willen schaffen en die wordt ondersteund met de aankomende FFADO release. Een bandmaat heeft een tijdlang twee Focusrite Saffire Pro 10’s gehad en deze recentelijk omgeruild met een RME Fireface 800 en volgens hem zijn de A/D D/A convertors gewoon stukken beter dan die van Focusrite.

Nieuwe FFADO versie op komst

YubiKeys, SSH, PAM en LDAP

Hoe tweeweg authenticatie op te zetten voor SSH logins met behulp van YubiKeys, PAM en LDAP (via SSL) op een Ubuntu 12.04 installatie.

Benodigde pakketjes

sudo apt-get install ldap-auth-client libpam-yubico

Conflicterende pakketjes

Mocht het pakketje nscd geïnstalleerd zijn, deïnstalleer deze. Dit pakket verhindert een goede werking van de YubiKey-LDAP authenticatiemethode.

ldap-auth-config

Tijdens het installeren van het pakketje ldap-auth-client wordt er een aantal gegevens gevraagd. Doorloop de set-up als volgt:

  • LDAP server Uniform Resource Identifier: ldaps://fqdn.van.ldap.server:poortnummer
  • Distinguished name of the search base: dc=voorbeeld,dc=com
  • LDAP version to use: 3
  • Make local root Database admin: No
  • Does the LDAP database require login? No

/etc/ldap.conf

Dit bestand regelt de verbinding met je LDAP server. De setup van ldap-auth-client heeft de boel nu ingesteld maar eigenlijk heb je deze hele setup niet nodig want met een /etc/ldap.conf met de volgende drie regels ben je er ook:

base dc=voorbeeld,dc=com
uri ldaps://fqdn.ban.ldap.server:poortnummer
tls_cacertfile /etc/ssl/certs/cacert.org.pem

Je kunt dus een deel van wat de setup heeft aangemaakt laten staan, de rest kun je uithekken. Zoals je ziet heb ik voor de SSL kant van het verhaal voor CAcert.org gekozen als CA. Je moet dan ook expliciet verwijzen naar de root certificaten van CAcert.org anders kan er niet gebind worden met de LDAP server. De LDAP server, in mijn geval een OpenDJ directory server, maakt dus gebruik van door CAcert.org getekende certifcaten.

/etc/nsswitch.conf

Dit bestand regelt op welke manier en in welke volgorde de verschillende nameservices worden aangesproken. In ons geval gaat het om de entries password, shadow en groups in dit bestand. Standaard staan die in Ubuntu 12.04 op compat. Om Ubuntu eerst de fysieke bestanden en daarna LDAP te laten checken moet compat veranderd worden in files ldap. Dit gaat het snelst met een sed commando:

sudo sed -i 's/compat/files ldap/g' /etc/nsswitch.conf

Nu /etc/nsswitch.conf is ingesteld kun je gaan testen of je LDAP connectie goed is:

id ldapgebruiker
getent passwd
getent group

PAM

Nu is het zaak PAM zo in te stellen dat je zowel tegenover de Yubico servers authenticeert met je YubiKey als tegenover LDAP wanneer je SSH’t naar je machine. Dit regel je in /etc/pam.d/sshd:

# PAM configuration for the Secure Shell service

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale

# Yubikey authentication
#
# Allow local accounts for the moment.
auth sufficient pam_unix.so

# Fetch LDAP password + OTP, verify OTP and move on ('required' control value).
# LDAP password is stripped and passed on.
auth required pam_yubico.so id=1234 ldap_uri=ldaps://fqdn.van.ldap.server:poortnummer [ldapdn=ou=People,DC=voorbeeld,DC=com] user_attr=uid yubi_attr=yubikeyid

# LDAP authentication
#
# Verify the LDAP password that has been passed on ('use_first_password' argument)
# and grant access when password gets accepted ('sufficient' control value).
auth sufficient pam_ldap.so use_first_pass

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# LDAP session
#
# Create homedir for LDAP user if it doesn't exist yet.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple

# Standard Un*x password updating.
@include common-password

De dikgedrukte gedeeltes zijn toegevoegd. Het id wat is toegevoegd bij de pam_yubico.so module kun je aanvragen via Yubico. Dit id is de zgn. API Key. Ook heb ik een extra opties toegevoegd:

yubi_attr=yubikeyid

Wat dit doet is de mapping gebruiker – YubiKey Public ID checken op de LDAP server, dus niet op de machine zelf. Het gros van de handleidingen gaat ervan uit dat je de mappings op de machine zelf maakt in platte bestandjes. Maar dat wil je helemaal niet, daar heb je nou juist je LDAP server voor, zodat je dit soort dingen als mappings centraal kan regelen. Wat ik heb gedaan is een objectclass yubikey toegevoegd aan de OpenDJ configuratie en deze een attribute yubikeyid meegegeven. Hoe ik dit heb gedaan komt nog wel aan bod in een latere entry waarin ik ook zal uitleggen hoe je users die in moeten kunnen loggen op je machine moet aanmaken in OpenDJ. De objectclass yubikey heb ik op zijn beurt weer toegevoegd als auxiliary objectclass bij de gebruikers die een YubiKey hebben. Vervolgens kan ik dan in het veld yubikeyid het Public ID ingeven van de YubiKey die bij een bepaalde gebruiker hoort. Het Public ID bestaat uit de eerste 12 tekens van de OTP die een YubiKey genereert. Je kan ook een bestaande attribute gebruiken, Zarafa gebruikt bijvoorbeeld het carLicense attribute. Maar dit gaat er bij mij niet in, een YubiKey Public ID is geen rijbewijs, dus krijgt het een eigen attribute.

Als je nu via SSH inlogt met je LDAP wachtwoord meteen gevolgd door je YubiKey OTP op dezelfde regel zou je keurig geauthenticeerd moeten worden. Eerst tegenover de Yubico Cloud, vervolgens stript de pam_yubico.so module het wachtwoord en haalt het YubiKey OTP eraf en geeft de rest door aan pam_ldap.so die je nu met het overgebleven wachtwoord authenticeert tegenover je LDAP server. En mocht je nog geen home directory hebben dan wordt deze aangemaakt door pam_mkhomedir.so.

YubiKeys, SSH, PAM en LDAP

Zelf een real-time kernel bouwen voor Ubuntu 12.04

De real-time kernel uit de PPA van Alessio Bogani liep bij mij nog wel eens vast dus heb ik er zelf een gebouwd met de meest recente 3.2 kernel en bijbehorende RT patchset. En dit draait een stuk stabieler, nog geen lockups gehad.

Een eigen kernel bouwen is gelukkig nog steeds niet zo heel moeilijk, met Ubuntu kun je zelfs heel gemakkelijk pakketten maken met behulp van de make-kpkg utility. Na wat googlen kwam ik onderstaande handleiding tegen en simpeler kan het bijna niet.

Installeer de benodigde pakketten:

sudo apt-get install kernel-package fakeroot build-essential libncurses5-dev

Download de kernel sources en de RT patchset:

mkdir -p ~/tmp/linux-rt
cd ~/tmp/linux-rt
wget -c http://www.kernel.org/pub/linux/kernel/v3.x/linux-3.2.28.tar.bz2
wget -c
http://www.kernel.org/pub/linux/kernel/projects/rt/3.2/patch-3.2.28-rt42.patch.bz2

Pak de kernel sources uit en patch deze met de RT patchset:

tar xjvf linux-3.2.28.tar.bz2
cd linux-3.2.28
patch -p1 < <(bunzip2 -c ../patch-3.2.28-rt42.patch.bz2)

Nu moet je de kernel nog configureren. De gemakkelijkste manier is om een bestaande kernel config te nemen, deze staan in de /boot directory van je systeem. Kopieer een config naar je werkdirectory en gebruik deze als uitgangspunt:

cp /boot/config-$(uname -r) .config

Dit commando kopieert de kernel config van de kernel die je op dat moment gebruikt. Je kunt ook de config van een andere kernel gebruiken, bijv. die van de Ubuntu lowlatency kernel aangezien deze al geoptimaliseerd is voor Linux audio toepassingen. De volgende stap is om een kernel config aan te maken met full preemption ingeschakeld aan de hand van de gekopieerde kernel config:

make oldconfig

Je kunt alle prompts wegklikken met Enter, behalve de prompt welk Preemption Model je wilt gebruiken. Selecteer daar 5 (Fully Preemtible Kernel):

Preemption Model
> 1. No Forced Preemption (Server) (PREEMPT_NONE)
  2. Voluntary Kernel Preemption (Desktop) (PREEMPT_VOLUNTARY)
  3. Preemptible Kernel (Low-Latency Desktop) (PREEMPT__LL) (NEW)
  4. Preemptible Kernel (Basic RT) (PREEMPT_RTB) (NEW)
  5. Fully Preemptible Kernel (RT) (PREEMPT_RT_FULL) (NEW)
choice[1-5]: 5 <Enter>

Workaround voor https://bugs.launchpad.net/ubuntu/+source/kernel-package/+bug/602405:

sed -rie 's/echo "+"/#echo "+"/' scripts/setlocalversion

Nu kun je de kernel gaan bouwen:

make-kpkg clean
CONCURRENCY_LEVEL=$(getconf _NPROCESSORS_ONLN) fakeroot make-kpkg
--initrd --revision=0 kernel_image kernel_headers

Als het bouwen klaar is (kan een tijd duren) kun je de kernel pakketjes installeren:

cd ..
sudo dpkg -i linux-{headers,image}-3.2.28-rt42_0_*.deb

Rebooten, nieuwe real-time kernel selecteren in je bootloader (GRUB) en je systeem zou nu moeten booten met de net gebouwde real-time kernel.

Zelf een real-time kernel bouwen voor Ubuntu 12.04

Homestudio migratie

Migratie voorloopt voorspoedig. Bijna alles draait weer en het systeem voelt weer lekker fris en fruitig aan. Enige echte lastpost is de real-time kernel die ik heb geïnstalleerd, die wil nog wel eens vastlopen (kernel panics). Maar dat komt waarschijnlijk omdat het al een oudere versie is (zo te zien 3.2.14-rt24, recentste versie is 3.2.19-rt30). Zal dus de lowlatency kernel moeten gebruiken, nog niet uitgebreid getest maar ik denk dat dat wel goed komt. Dan kan ik ook zonder problemen de plug-ins gebruiken van het Distrho project. Die maken bijna allemaal gebuik van het Juce framework en dat framework is voor zover ik het heb begrepen niet helemaal real-time safe zoals dat heet. Oftewel, plug-ins gebaseerd op dat framework doen het niet goed met een real-time kernel en kunnen zelfs je systeem laten crashen.

Homestudio migratie

Lubuntu onvolkomenheden

Na het installeren van Lubuntu 12.04 via een minimal install en een apt-get install lubuntu-core op de CLI ziet de desktop waarmee je geconfronteerd wordt er nog niet echt jofel uit.


text-align: center;

Desktop na installatie lubuntu-core

Dit is simpel op te lossen door het pakketje gtk2-engines-pixbuf te installeren. Dit pakketje zorgt ervoor dat GTK2 applicaties het correcte Lubuntu-default GTK2 theme krijgen.


text-align: center;

Desktop na installatie pixbuf GTK2 engine

En Qt applicaties? Die pikken helaas nog niet de juiste GTK instellingen op ondanks dat de GUI Style standaard op GTK+ staat.


text-align: center;

Qt houdt het op een Clearlooks GUI Style

Na het installeren van het pakketje libgnome2-common is dit ook opgelost en hebben alle applicaties een homogenere feel.


text-align: center;

qtconfig met correcte GTK+ GUI Style

Lubuntu onvolkomenheden

Ge├╝pgraded naar Precise Pangolin

Op m’n werk zat ik op 11.10 en heb gewoon maar de upgrade naar 12.04 erover heen gerost. Ben niet zo’n fan van upgraden, doe liever een schone install, maar ik kan niet ontkennen dat Ubuntu upgraden inmiddels afgrijselijk soepel verloopt. Na de upgrade doet alles het nog gewoon zoals voorheen op slechts wat minuscule dingetjes na. Zo zag het font dat ik gebruikte voor in de terminal (Monospace) er bijvoorbeeld niet meer uit. Na dit vervangen te hebben met DejaVu Sans Mono was het weer leesbaar alhoewel het naar mijn gevoel nog niet helemaal hetzelfde is als onder 11.10. Maar heb het idee dat de algehele font rendering is aangepast. En Plymouth werkt nog niet maar dat komt waarschijnlijk doordat ik een aangepaste Grub configuratie gebruikte ivm. de Ati kaart die in mijn werk PC zit. Dus dat moet ik nog even aanpassen. Ook moet ik op zoek naar andere icoontjes want daar is ook wat aan veranderd waardoor het niet goed meer oogt. Als iemand nog tips heeft hoor ik het graag.

Ge├╝pgraded naar Precise Pangolin

Nog iets meer dan een week

En dan mag ik eindelijk m’n PC’s updaten naar de nieuwe Ubuntu LTS versie, 12.04 Precise Pangolin. Dus ook mijn home studio PC. Komt redelijk goed uit want heb momenteel niet zo gek veel tijd en behoefte om muziek te maken. Heb wat anders om handen.

Op mijn werk draai ik al wel een paar maanden 11.10 en ben daar best tevreden over. Toch kan LXDE niet op tegen Gnome 2 dus ga denk ik toch weer wat zoeken naar en experimenteren met window en desktop managers opdat ik maar moge eindigen met de ultieme desktop ervaring. Ach uiteindelijk zal het wel weer een pragmatische oplossing worden, niet de D66 connotatie van pragmatisch, maar de Driss uit Les Intouchables connotatie (cliffhanger alert). Pragmatique.

Nog iets meer dan een week