KDE Walletのソースを表示

[[Category:KDE]]
[[ar:KDE Wallet]]
[[en:KDE Wallet]]
[[es:KDE Wallet]]
[[zh-hans:KDE Wallet]]
[https://utils.kde.org/projects/kwalletmanager/ KDE Wallet Manager] は、[[KDE]] Plasma システムでパスワードを管理するためのツールです。KDE ウォレットサブシステムを使うことで秘密を守ることだけでなく、KDE ウォレットと連動する全てのアプリケーションのパスワードを管理することができます。

{{Note|KDE Frameworks 5.97.0 以降、KDE Wallet は org.freedesktop.secrets DBus API をサポートしています。これにより、libsecret が KDE Wallet を使用できるようになり、Secret Service API を使ってパスワードなどの機密情報を保管・取得できるようになりました。
}}

== ログイン時に KDE ウォレットを自動的にアンロック ==

ログイン時に KDE ウォレットを自動的にアンロックするには、[[PAM]] 互換モジュールの {{Pkg|kwallet-pam}} を[[インストール]]してください。また、KDE ウォレットパスワードは現在の[[ユーザー]]のパスワードと一致していなければなりません。

{{Note|
* {{Pkg|kwallet-pam}} は [[GnuPG]] 鍵とは互換性がありません。KDE ウォレットは標準的な {{ic|blowfish}} 暗号を使わなければなりません。
* 自動ログインを使うときは、自動ログインのメソッドがパスワードを保存している場合に限りウォレットをアンロックできます。例えば、[[pam_autologin]] は可能です。
* ログインに指紋を使用する場合、ウォレットはアンロックできません。
* ウォレットの名前は {{ic|kdewallet}} (デフォルト名)でなければなりません。これは他のウォレットをアンロックしません。
* [[KDE]] を使用している場合、ウォレットが使用後([[WiFi]] のパスフレーズのアンロックなど)に閉じられないようにするために、KDE ウォレット設定で ''最後のアプリケーションが使い終わったときに閉じる'' を無効化する必要があるかもしれません。
* まず先に、保存されている全てのエントリを削除して、デフォルトで作成されたウォレットを削除する必要があるかもしれません。
* kwallet Migration Assistant がログイン後に毎回パスワードを尋ねてくる場合、{{ic|~/.kde4/share/apps/kwallet}} フォルダを削除するか名前を変更してください。
}}

任意で、ウォレットの管理ツールの {{Pkg|kwalletmanager}} を[[インストール]]してください。このツールは、''kcm-module'' で提供されない設定と {{ic|blowfish}} 暗号のある KDE ウォレットを作成するのに使用できます。

{{Tip|あるいは、KWalletManager を使用して、空の Kwallet パスワードを設定することで、パスワード無しでウォレットのアンロックを可能にできます。''パスワードを変更..'' の両方の入力欄を空欄にしてください。しかし、これによりユーザのウォレットに対して望まない(読み込み/書き込み)アクセスを招く恐れがあります。ウォレットに対する望まないアクセスを防ぐために ''アクセス管理'' の ''アプリケーションがウォレットにアクセスするときに通知する'' を有効化することを強くおすすめします。}}

=== PAM の設定 ===

以下の行は、対応するそれぞれのセクションになければなりません:

{{bc|1=
auth            optional        pam_kwallet5.so
session         optional        pam_kwallet5.so auto_start
}}

状況に合わせて [[PAM]] 設定ファイルを編集してください:

* [[SDDM]] の場合、{{ic|/etc/pam.d/sddm}} に上記の行がすでに存在するため、編集する必要は無いはずです。
* [[LightDM]] の場合、{{ic|/etc/pam.d/lightdm}} と {{ic|/etc/pam.d/lightdm-autologin}} に上記の行がすでに存在するため、編集する必要は無いはずです。
* [[GDM]] の場合、{{ic|/etc/pam.d/gdm-password}} を適宜編集してください。
* [[greetd]] の場合、{{ic|/etc/pam.d/greetd}} を適宜編集してください。
* tty ログイン(ディスプレイマネージャなし)でアンロックするには、{{ic|/etc/pam.d/login}} を適宜編集してください。'''force_run''' パラメータを指定する必要があります。

{{hc|/etc/pam.d/login|2=
auth            optional        pam_kwallet5.so
session         optional        pam_kwallet5.so auto_start '''force_run'''
}}

{{hc|/etc/pam.d/greetd|2=
#%PAM-1.0

auth       required     pam_securetty.so
auth       requisite    pam_nologin.so
auth       include      system-local-login
'''auth       optional     pam_kwallet5.so'''
account    include      system-local-login
session    include      system-local-login
'''session    optional     pam_kwallet5.so auto_start force_run'''

}}

== KDE ウォレットを使って ssh 鍵のパスフレーズを保存 ==

{{Accuracy|自動起動エントリの作成が必要になるのは、{{ic|ssh-add}} がキーを自動的に追加できない場合のみです。}}

{{Note|[[SSH エージェント]]が実行されている必要があります。}}

{{Pkg|ksshaskpass}} パッケージを[[インストール]]してください。

[[KDE#自動起動|自動起動 .desktop ファイル]]を[[作成]]してください:

{{hc|~/.config/autostart/ssh-add.desktop|2=
[Desktop Entry]
Exec=ssh-add -q
Name=ssh-add
Type=Application
}}

{{Tip|デフォルトでは、{{man|1|ssh-add}} はデフォルト鍵 {{ic|~/.ssh/id_rsa}} しか追加しません。{{ic|key1}}、{{ic|key2}}、{{ic|key3}} という名前の、異なる SSH 鍵を持っていると仮定すると、''ssh-add'' への引数としてそれらを渡すことでログイン時に自動的にそれらを追加できます。例:

{{hc|~/.config/autostart/ssh-add.desktop|2=
[Desktop Entry]
Exec=ssh-add -q .ssh/key1 .ssh/key2 .ssh/key3
Name=ssh-add
Type=Application
}}

グロビングなどの[[シェル]]の機能を使うには、シェルを起動して ''ssh-add'' コマンドを実行するように {{ic|1=Exec=}} の行を変更してください。例えば、[[Zsh]] の拡張グロビング機能を使って、ファイル名が {{ic|id}} で始まる全ての秘密鍵を ''ssh-add'' に追加するには:

{{hc|~/.config/autostart/ssh-add.desktop|2=
[Desktop Entry]
Exec=zsh --extendedglob -c 'ssh-add -q ~/.ssh/id^*.pub < /dev/null'
Name=ssh-add
Type=Application
X-KDE-AutostartScript=true
}}

}}

また、{{ic|SSH_ASKPASS}} [[環境変数]]を {{ic|ksshaskpass}} に設定し、{{ic|SSH_ASKPASS_REQUIRE}} を {{ic|prefer}} に設定する必要があります({{ic|SSH_ASKPASS_REQUIRE}} を {{ic|prefer}} に設定すると、TTY よりも askpass プログラムを優先します)。ログイン時にその環境変数を自動的に設定するには、以下の [https://man.archlinux.org/man/environment.d.5 systemd 環境変数]を作成してください:

{{hc|~/.config/environment.d/ssh_askpass.conf|2=
SSH_ASKPASS=/usr/bin/ksshaskpass
SSH_ASKPASS_REQUIRE=prefer
}}

パスワードを尋ねてきて、SSH 鍵をアンロックします。kwallet のパスワードを入力すれば、再起動時に SSH 鍵がアンロックされるはずです。

新しい鍵を追加して kwallet でパスワードを保存するには、以下のコマンドを使ってください。

 $ ssh-add ''/path/to/new/key'' </dev/null

そして、上で説明したように {{ic|~/.config/autostart/ssh-add.desktop}} 内の鍵のリストにその鍵を追加して、kwallet のパスワード入力時にアンロックされるようにしてください。

== KDE ウォレットを使って Git の資格情報を保存 ==

[[Git]] は資格情報ヘルパーに資格情報の処理を委託できます。{{Pkg|ksshaskpass}} を資格情報ヘルパーとして使うことで、HTTP/HTTPS と SMTP のパスワードは KDE ウォレットに安全に保存できます。

{{Pkg|ksshaskpass}} パッケージを[[インストール]]してください。

{{ic|GIT_ASKPASS}} [[環境変数]]で Git を設定してください:

{{hc|~/.config/environment.d/git_askpass.conf|2=
GIT_ASKPASS=/usr/bin/ksshaskpass
}}

{{Tip|{{ic|SSH_ASKPASS}} 環境変数が[[#KDE ウォレットを使って ssh 鍵のパスフレーズを保存|ksshaskpass に設定されている]]場合、{{ic|GIT_ASKPASS}} を設定する必要はありません。}}

代替や詳細は {{man|7|gitcredentials}} を見てください。

== Chrome と Chromium で KDE ウォレットを使う ==

Chrome/Chromium/Opera には組み込みのウォレット統合機能があります。それを有効化するには、{{ic|1=--password-store=kwallet5}} か {{ic|1=--password-store=detect}} を引数として渡して Chromium を実行してください。この変更を永続化させるには、[[Chromium#フラグを永続的に設定]] を見てください。(CHROMIUM_USER_FLAGS を設定してもうまく行きません。)

== ターミナルからパスワードをクエリする ==

プレーンなテキストファイルにパスワードを保存する代わりに、''kwallet-query'' を使って手動で新しいエントリをウォレットに追加したり、取得したりできます。

例えば、Podman で Docker Hub レジストリにログインしたい場合、以下のコマンドを使ってログインできます(Podman は {{ic|--password-stdin}} フラグで標準入力からのパスワード入力を受け付けます):

 $ kwallet-query -r folder_entry wallet_name -f folder_name | podman login docker.io -u dockerhub_username --password-stdin

この方法では、パスワードはテキストファイルに保存されず、ターミナルの履歴ファイルにも残りません。

== ウインドウマネージャで KWallet を自動的にアンロックする ==

ログインパスワードで保護された KWallet をアンロックするには、[[PAM]] の設定に加えて以下をウインドウマネージャの設定ファイルに追加する必要があります:

 exec --no-startup-id /usr/lib/pam_kwallet_init

== KWallet を無効化する ==

KWallet を永久に無効化したい場合:

{{hc|~/.config/kwalletrc|2=
[Wallet]
'''Enabled=false'''
}}

== D-Bus の自動アクティベーション ==

ほとんどのアプリケーションは {{ic|org.freedesktop.secrets.service}} D-Bus サービスを使用します。KWallet は、そのままの状態では自動アクティベーションのためのサービスファイルを提供していません。

以下のようなサービスファイルを作成することで、自動アクティベーションを行うことができます:

{{hc|~/.local/share/dbus-1/services/org.freedesktop.secrets.service|2=
[D-BUS Service]
Name=org.freedesktop.secrets
Exec=/usr/bin/kwalletd5
}}

== 参照 ==

* [https://www.dennogumi.org/2014/04/unlocking-kwallet-with-pam/ Unlocking KWallet with PAM]
* [https://invent.kde.org/frameworks/kwallet/-/merge_requests/11 org.freedesktop.secrets DBus API initial support]

{{TranslationStatus|KDE Wallet|2023-12-07|794011}}