fprint

提供: ArchWiki
2025年1月1日 (水) 03:14時点におけるKgx (トーク | 投稿記録)による版 (→‎ログイン設定: 同期)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

関連記事

fprint のホームページ より:

fprint プロジェクトは商用の指紋認証デバイスのサポートという Linux デスクトップの隙間を埋めることを目指しています。

ノートパソコンに内蔵されている指紋リーダーを使用して PAM を使ったログインを行うというアイデアです。この記事ではバックアップ用にログインで通常のパスワードを使う方法も説明しています (多くの理由により、指紋スキャナーのみの使用は推奨されません)。

要件

ノート: デバイスのリストは不定期更新であり不完全です。リストにデバイスがない場合でも、AUR パッケージを使う前に以下の手順を試す価値があります。

使っている指紋スキャナーがサポートされていることを確認してください。あなたのデバイスがサポートされているかどうかは サポートされているデバイスのリストもしくは、サポートされていないデバイスのリストあなたのデバイスを確認するには、次を入力してください:

$ lsusb

lsusb ツールは、usbutils パッケージ内で使用できます。

インストール

公式リポジトリから fprintd をインストールしてください。imagemagick も必要かもしれません。

デバイスによっては、libfprint の別のフォークが必要で、メインの libfprint とは (まだ?) マージされていないようです:

  • libfprint-tod — タッチベースのセンサー用。
https://gitlab.freedesktop.org/3v1n0/libfprint/-/tree/tod || libfprint-tod-gitAUR
  • libfprint-elanmoc2 — ELANの 04f3:0c4c が待機していて、マージが必要。
https://gitlab.freedesktop.org/Depau/libfprint/-/tree/elanmoc2 || libfprint-elanmoc2-gitAUR
  • libfprint-elanmoc2-newdrvs実験的な 04f3:0c4c または 04f3:0c00 用、マージ待ち。
https://gitlab.freedesktop.org/geodic/libfprint/-/tree/elanmoc2 || libfprint-elanmoc2-newdrvs-gitAUR

設定

ログイン設定

ノート:
  • GDM を使っているなら、ログインメニューで指紋オプションが使えるはずです (使えない場合、ユーザーを input ユーザーグループ に追加してみてください) このセクションは飛ばして下さい。
  • SDDM を使う場合、SDDM#指紋認証の利用 を参照してください。

pam_fprintd.sosufficient として /etc/pam.d/system-local-login の auth セクションの一番上に追加してください:

/etc/pam.d/system-local-login
auth      sufficient pam_fprintd.so
auth      include   system-login
...

これで最初に指紋によるログインが試行され、それが失敗したりユーザーのホームディレクトリに指紋署名がない場合、パスワードによるログインになります。

警告: この設定は、ユーザーにプロンプ​​トを表示せずにバックグラウンドプロセスがアクセス許可を取得できるため、su および sudo のセキュリティ違反になります。参照:CVE-2024-37408

同じ方法で /etc/pam.d/{login,su,sudo,gdm,lightdm} にある他のファイルを変更することもできます。たとえば、polkit ベースの認証 (GNOME やその他多くのデスクトップ環境) に使用される /etc/pam.d/polkit-1 を編集する場合です。もし /etc/pam.d/polkit-1 が存在しない場合は、/usr/lib/pam.d/polkit-1 からコピーしてください。KDE では、/etc/pam.d/kde-fingerprint に指紋認証が既に設定されているため、そのファイルを編集する必要はありません。

指紋データが存在する場合、/etc/pam.d/ 内の任意の設定ファイルに pam_fprintd.sosufficientとして追加すると、指紋認証のみが求められるようになります。ただし、シェルがなくて Ctrl+c で指紋認証をキャンセルできない場合、パスワードの使用ができなくなる点に注意してください。グラフィカルインターフェースでパスワードまたは指紋のどちらかを使用できるようにするには、必要なファイルの先頭に次の行を追加してください:

/etc/pam.d/sudo
auth		sufficient  	pam_unix.so try_first_pass likeauth nullok
auth		sufficient  	pam_fprintd.so
...

最初にパスワードを促され、入力せずに Enter キーを押すと指紋認証が行われます。

指紋とパスワードの入力を同時に促したい場合は、pam-fprint-grosshackAUR を使用することができます。これは、Gnome の組み込み polkit エージェントのような、空白のパスワード入力を許さないグラフィカルなプログラムで必要になることがあります。このパッケージを使用するには、必要なファイルの先頭に次の行を追加します:

auth		sufficient  	pam_fprintd_grosshack.so
auth		sufficient  	pam_unix.so try_first_pass nullok
...

指紋署名の作成

登録するには、認証エージェントを実行する必要があります。

指の署名を追加するには、次を実行してください:

$ fprintd-enroll

または、5 本の指全ての署名を新しく作成するには:

$ fprintd-delete "$USER"
$ for finger in {left,right}-{thumb,{index,middle,ring,little}-finger}; do fprintd-enroll -f "$finger" "$USER"; done

指定された指をスキャンするように指示されます。右手の人差し指を 5回スワイプしてください。その後、/var/lib/fprint/ に署名が作成されます。

また、認証エージェントなしで登録することもできます。

# fprintd-enroll user

新しく作成されたフィンガープリントを確認するには、次のようにします:

$ fprintd-verify

詳しくは、fprintd(1) を見て下さい。

登録の制限

デフォルトでは新しい指紋を登録するのにパスワードを入力する必要はありません。Polkit ルールを使うことでこの動作を変更することができます。

polkit の設定ファイルは、次の2つの場所に保存されています。

  • /etc/polkit-1/rules.d/
  • /usr/share/polkit-1/rules.d/
ノート: /etc/polkit-1/rules.d/ の設定ファイルはパッケージ更新時に上書きされます。最初に設定ファイルを /etc/polkit-1/rules.d/ から /usr/share/polkit-1/rules.d/ にコピーしてください。

以下の例ではスーパーユーザーだけが指紋を登録できるようになります:

/etc/polkit-1/rules.d/50-net.reactivated.fprint.device.enroll.rules
polkit.addRule(function (action, subject) {
  if (action.id == "net.reactivated.fprint.device.enroll") {
    return subject.user == "root" ? polkit.Result.YES : polkit.result.NO
  }
})

トラブルシューティング

利用可能なデバイスがない

サポートされているデバイス が見つからない、または既に開いている(使用中)と言われる場合は、fprintd のログを journal で確認してください:

次のようなログエントリが見つかるかもしれません:

fprintd[2936592]: Corrupted message received
fprintd[2936592]: Ignoring device due to initialization error: unsupported firmware version

Fwupd でデバイスのファームウェアを最新の状態にしてください。

サスペンド後のログインプロンプト表示時に gdm がハングする

この問題は libfprint repositoryで説明されています。開発者の答えは以下の通りです:

現時点では、BT USBドングルが初期化されている最中に切断されてしまっているのではないかと推測しています。その結果、btusbがファイルウェアをロードしようとして全てがスタックされてしまっている(これには10秒のタイムアウトが設定されており、ちょうど10秒未満のハングが発生している原因を説明しています)。rfkillスイッチが切り替えられた時には、このようにbluetoothドングルが切断されることが想定されていますので、それ自体は正常です。ただし、デバイスが突然切断されるケースが適切に処理されず、タイムアウトするようです。

提案されている修正方法は、以下のように作成することです:

/etc/modprobe.d/bluetooth-blacklist.conf
blacklist btusb

または、すぐに以下のコマンドを実行します:

# rmmod btusb

その後、デバイスの初期化を試みることはなくなります。

デバイスをサスペンド中に予期しないエラーが発生

この問題は libfprint repositoryで説明されています:

RAM へのサスペンドではなく、s2idle を行うようにノートパソコンの設定を変更する必要があります。BIOS を "Windowsモード" に切り替える必要があるかもしれません。

指紋認証が Polkit エージェントで有効にならない

Linux PAM に指紋ルールを追加した後、指紋認識は SDDMsudo に対してのみ機能しますが、polkit に対しては機能しません。

50-default.rules ファイルを /etc/ にコピーし、グループ名 wheel をユーザーグループに変更します。

# cp /usr/share/polkit-1/rules.d/50-default.rules /etc/polkit-1/rules.d/
/etc/polkit-1/rules.d/50-default.rules
polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});

デバッグ

次の環境変数とコマンドラインフラグを使用します:

# G_MESSAGES_DEBUG=all /usr/lib/fprintd -t

スリープから復帰後、指紋リーダーデバイスが初期化される前に fprintd が開始される

次の systemd サービスを作成して 有効化 します。3-3 を指紋リーダーのバス ID とポートに置き換えます。これは、lsusb -t を使用して見つけることができます。

/etc/systemd/system/fingerprint.service
[Unit]
Description=Kill fprintd and enable USB persist before sleep
Before=sleep.target

[Service]
ExecStart=/usr/bin/sh -c "killall fprintd; echo 1 > /sys/bus/usb/devices/3-3/power/persist"

[Install]
WantedBy=sleep.target

登録は機能するが、認証が機能しない

一部のタッチ式指紋リーダーは、fprint のアルゴリズムが正常に動作するには小さすぎるイメージを生成します。その場合の一般的な回避策として、センサーをタッチするのではなくスワイプする方法があります。ただし、適切なイメージが生成される速度はセンサーによって異なる場合があります。一部のセンサーはゆっくりとスワイプする必要があり、他のセンサーでは速いスワイプが必要です。以下のリンクに、良い イメージがどのようなものであるべきかについてのヒント が記載されています。

さまざまな速度で練習して、どちらがより良いイメージを生成するかを確認したい場合は、スクリプト [1] を選択し、上記の例と比較します (ソースから libfprint をコンパイルする必要があります)

こちらも参照 https://gitlab.freedesktop.org/libfprint/libfprint/-/issues/174

翻訳ステータス: このページは en:Fprint の翻訳バージョンです。最後の翻訳日は 2025-01-01 です。もし英語版に 変更 があれば、翻訳の同期を手伝うことができます。