GNOME/Keyring

2019-05-08T11:01:43Z

Mrtc0: gentoo-wiki.info へのリンクを消しました。gentoo-wiki.info は改竄されているのかわかりませんが、本来のものではなくなっているようで、不正サイトへリダイレクトされるようになっていました

[[Category:GNOME]]
[[en:GNOME/Keyring]]
[https://wiki.gnome.org/Projects/GnomeKeyring GNOME Keyring] はパスワード・鍵・証明書などを保存してアプリケーションから利用できるようにする [[GNOME]] のコンポーネントです。
== インストール ==
GNOME を使用している場合、{{Pkg|gnome-keyring}} は {{grp|gnome}} グループの一つとして自動的にインストールされます。GNOME を使っていない場合は、[[公式リポジトリ]]から {{Pkg|gnome-keyring}} をインストールしてください。

便利なユーティリティ:
* {{App|secret-tool|コマンドラインから GNOME Keyring (や [https://standards.freedesktop.org/secret-service/ DBus Secret Service API] が実装された他のサービス) にアクセス。|https://wiki.gnome.org/Projects/Libsecret|{{Pkg|libsecret}}}}
* {{App|gnome-keyring-query|GNOME Keyring に保存したパスワードを確認するためのシンプルなコマンドラインツール。||{{AUR|gnome-keyring-query}}}}
* {{App|gkeyring|コマンドラインからパスワードを確認する。[[Git]] バージョンではアイテムの名前や id を知らなくても全てのパスワードを確認可能。|https://github.com/kparal/gkeyring|{{AUR|gkeyring}}, {{AUR|gkeyring-git}}}}

== GUI で管理 ==
GNOME Keyring は Seahorse を使って管理することができます。公式リポジトリから {{Pkg|seahorse}} パッケージをインストールしてください。

GNOME Keyring のパスワードを空にしたり変更することが可能です。Seahorse を開いて、ドロップダウンメニューの "View" から "By Keyring" を選択してください。Passwords タブを開いて、"Passwords: login" を右クリックして "Change password" を選択してください。旧パスワードを入力してから新しいパスワードを入力します。暗号化されていないストレージを使用しているという警告が表示されるので "Use Unsafe Storage" を押して下さい。

== GNOME 以外でキーリングを使用する ==

=== ディスプレイマネージャを使わない ===

==== 自動ログイン ====
自動ログインを使っている場合、ログインキーリングに空のパスワードを設定することでキーリングマネージャを無効化することができます。
{{Note|この場合はパスワードは暗号化されていない状態で保存されます。}}

==== コンソールログイン ====
コンソールによるログインを使っている場合、[[PAM]] か [[xinitrc]] を使ってキーリングデーモンを起動することができます。PAM ではログイン時に自動的にキーリングのロックを解除することもできます。

===== PAM を使う =====
{{ic|/etc/pam.d/login}} から gnome-keyring-daemon を起動:

{{ic|auth}} セクションの最後に {{ic|auth optional pam_gnome_keyring.so}} を追加して {{ic|session}} セクションの最後に {{ic|session optional pam_gnome_keyring.so auto_start}} を追加してください。

{{hc|/etc/pam.d/login|
#%PAM-1.0

auth required pam_securetty.so
auth requisite pam_nologin.so
auth include system-local-login
'''auth optional pam_gnome_keyring.so'''
account include system-local-login
session include system-local-login
'''session optional pam_gnome_keyring.so auto_start'''}}

次に、{{ic|/etc/pam.d/passwd}} の最後に {{ic|password optional pam_gnome_keyring.so}} を追加してください。
{{hc|/etc/pam.d/passwd|<nowiki>
#%PAM-1.0

#password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
#password required pam_unix.so sha512 shadow use_authtok
password required pam_unix.so sha512 shadow nullok</nowiki>
'''password optional pam_gnome_keyring.so'''}}

{{Note|
* 自動でロックを解除したい場合、ユーザーアカウントとキーリングに同一のパスワードを設定する必要があります。
* 上記の設定だけでは不十分で {{ic|~/.xinitrc}} に以下のコードを記述して環境変数をエクスポートする必要があります。}}

===== xinitrc を使う =====

[[xinitrc]] から gnome-keyring-daemon を起動:

{{hc|~/.xinitrc|<nowiki>
eval $(/usr/bin/gnome-keyring-daemon --start --components=pkcs11,secrets,ssh)
export SSH_AUTH_SOCK
</nowiki>}}

スケルトンの {{ic|.xinitrc}} では D-Bus セッションが起動します。詳しくは {{bug|13986}} を参照。

{{Note|{{ic|GNOME_KEYRING_PID}} は削除されました。{{ic|XDG_RUNTIME_DIR}} が設定されている場合 {{ic|GNOME_KEYRING_CONTROL}} は書き込まれません。[http://ftp.gnome.org/pub/GNOME/sources/gnome-keyring/3.11/gnome-keyring-3.11.92.changes] を参照。}}

キーリングからの情報の取得に問題が発生する場合、問題の環境で {{ic|DBUS_SESSION_BUS_ADDRESS}} がエクスポートされていることを確認してください ({{ic|DBUS_SESSION_BUS_PID}} はエクスポートされません)。

Xfce で使う場合 [[Xfce#SSH_エージェント|SSH エージェント]]を参照。

[[i3]] を使用して ssh でパスワードプロンプトが表示されず、次のエラーが表示される場合:

sign_and_send_pubkey: signing failed: agent refused operation
Permission denied (publickey).

.xinitrc を使って DISPLAY 環境変数を dbus-daemon に追加する必要があります:

{{hc|~/.xinitrc|<nowiki>
dbus-update-activation-environment --systemd DISPLAY
eval $(/usr/bin/gnome-keyring-daemon --start --components=pkcs11,secrets,ssh)
export SSH_AUTH_SOCK

...
exec i3
</nowiki>}}

{{note|If you use a different location for {{ic|~/.Xauthority}} ({{ic|XAUTHORITY}}) then you will have to also include this environment variable in the aforementioned {{ic|dbus-update-activation-environment}} command.}}

=== ディスプレイマネージャを使う ===
ディスプレイマネージャを使う場合、ほとんどの場合、何も設定しなくてもキーリングは動作します。以下のディスプレイマネージャはログイン時にキーリングのロックを自動的に解除します:
* [[GDM]]
* [[SLiM]]
* [[LightDM]]
* [[LXDM]]
{{Note|{{pkg|libgnome-keyring}} をインストールする必要があるかもしれません。}}
KDM については、[[KDM#KDM と Gnome-keyring]] を見て下さい。

[[SDDM]] の場合、KDM のガイドラインに従ってください。ただし {{ic|/etc/pam.d/kde}} は {{ic|/etc/pam.d/sddm}} に変更してください。

SSH などのターミナルから動作させるアプリケーションからキーリングを使えるようにするには、以下を {{ic|~/.bash_profile}} や {{ic|~/.zshenv}} に追加してください:

{{hc|~/.zshenv|<nowiki>
if [ -n "$DESKTOP_SESSION" ];then
eval $(gnome-keyring-daemon --start)
export SSH_AUTH_SOCK
fi</nowiki>}}

{{Note|1=GNOME Keyring デーモンは {{ic|GNOME_KEYRING_PID}} をもはや使いません。[https://mail.gnome.org/archives/commits-list/2014-March/msg03864.html] を参照。}}

== SSH 鍵 ==
SSH 鍵を追加するには:

$ ssh-add ~/.ssh/id_dsa
Enter passphrase for /home/mith/.ssh/id_dsa:

自動でロードされている鍵を確認するには:

$ ssh-add -L

全ての鍵を無効化するには:

$ ssh-add -D

サーバーに接続するときに、鍵が使われてパスフレーズの入力を求めるダイアログがポップアップするようになります。ログイン時に自動的にロックを解除するオプションもあります。このオプションにチェックを入れている場合、もうパスフレーズを入力する必要はなくなります。

もしくは、キーリングにパスフレーズを永続的に保存したい場合、{{pkg|seahorse}} パッケージの seahorse-ssh-askpass を使います:

/usr/lib/seahorse/seahorse-ssh-askpass my_key

{{Note|秘密鍵と同じディレクトリ (上記の例では {{ic|~/.ssh/id_dsa.pub}}) に対応する {{ic|.pub}} ファイルが必要です。また、公開鍵のファイル名が秘密鍵に {{ic|.pub}} を付けた名前になっていることを確認してください (例: {{ic|my_key.pub}})。}}

=== キーリングデーモンの無効化 ===
別の SSH エージェントを使いたい場合 (例: [[SSH 鍵#ssh-agent|ssh-agent]])、GNOME Keyring デーモンの SSH コンポーネントを無効化する必要があります:
# ln -sf /dev/null /etc/xdg/autostart/gnome-keyring-ssh.desktop
ログアウトすることで変更が適用されます。

== ヒントとテクニック ==

=== アプリケーションとの統合 ===

* [[Firefox#GNOME キーリングの統合]]

=== パスフレーズの消去 ===

$ gnome-keyring-daemon -r -d

上記のコマンドで、実行中のインスタンスが終了して、新しい gnome-keyring-daemon が起動します。

=== GNOME Keyring と Git ===
HTTPS でプッシュするときに [[Git]] と GNOME Keyring を組み合わせると便利です。

まず[[公式リポジトリ]]から {{pkg|libgnome-keyring}} パッケージをインストールしてください。

そしてヘルパーをコンパイルします:
$ cd /usr/share/git/credential/gnome-keyring
# make
ヘルパーを使うように Git を設定:
$ git config --global credential.helper /usr/lib/git-core/git-credential-gnome-keyring
これで ''git push'' を実行したときに、キーリングのロックが解除されていなかった場合、解除するように要求されます。

== トラブルシューティング ==

=== パスワードが保存されない ===

ログイン時に毎回パスワードプロンプトが表示され、パスワードが保存されない場合は、デフォルトのキーリングを作成・設定する必要があります。

{{pkg|seahorse}} パッケージをインストールして、システム設定から "パスワードと秘密鍵" を開いて ''View'' > ''By Keyring'' を選択してください。左カラムにキーリングが存在しない場合 (鍵のアイコン)、''File'' > ''New'' > ''Password Keyring'' とたどって名前を付けて下さい。パスワードの入力を求められます。パスワードを入力しないと自動的にパスワード解除されるようになります (自動ログインを使っている場合も)、ただしパスワードは安全に保存されません。最後に、作成したキーリングを右クリックして "Set as default" を選択してください。

=== キーリングデーモンの SSH と Secrets コンポーネントの起動 ===

ディスプレイマネージャや上に書かれている PAM で GNOME Keyring を起動していて、デスクトップに GNOME や Unity、MATE を使っていない場合、SSH と Secrets コンポーネントが自動的に起動しない場合があります。{{ic|/etc/xdg/autostart/}} にあるデスクトップファイル {{ic|gnome-keyring-ssh.desktop}} と {{ic|gnome-keyring-secrets.desktop}} を {{ic|~/.config/autostart/}} にコピーして OnlyShowIn という行を削除すれば問題は解決します。

$ cp /etc/xdg/autostart/{gnome-keyring-secrets.desktop,gnome-keyring-ssh.desktop} ~/.config/autostart/
$ sed -i '/^OnlyShowIn.*$/d' ~/.config/autostart/gnome-keyring-secrets.desktop
$ sed -i '/^OnlyShowIn.*$/d' ~/.config/autostart/gnome-keyring-ssh.desktop

== 参照 ==
* [https://wiki.gnome.org/action/show/Projects/GnomeKeyring GNOME wiki]

ArchWiki - 利用者の投稿記録 [ja]

GNOME/Keyring