-<p>Min hovedbankforbindelse,
-<a href="http://www.postbanken.no/">Postbanken</a>, har fra 1. oktober
-blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
-for <a href="https://www.bankid.no/">BankID</a> og går over til å
-bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
-kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
-lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
-hvis jeg ikke godtar det jeg anser som urimelige vilkår i
-BankID-avtalen.</p>
-
-<p>BankID er en løsning der banken gis rett til å handle på vegne av
-meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
-bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
-oppta lån og andre handlinger som har alvorlige følger for meg.
-Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
-all informasjon og tilgang som den trenger for å bruke BankID, også
-uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
-min BankID når jeg har oppgitt pinkode og passord, men praktisk og
-konkret kan de gjøre dette også uten at min pinkode eller mitt passord
-er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
-seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
-(eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
-rett til å inngå avtaler på vegne av meg.</p>
-
-<p>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
-offentlig nøkkel, der den private nøkkelen er nødvendig for å
-"signere" på vegne av den nøkkelen gjelder for, og den offentlige
-nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
-sitter på både den private og den offentlige nøkkelen, og sier de kun
-skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
-passord.</p>
-
-
-<p>I postbankens
-<a href="https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf">vilkår
-for BankID</a> står følgende:</p>
-
-<blockquote>
- <p>"6. Anvendelsesområdet for BankID</p>
-
- <p>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
- avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
- identifisering og signering i forbindelse med elektronisk
- meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
- elektronisk kommunikasjon med Banken og andre brukersteder som har
- tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
- har inngått avtale med bank om bruk av BankID."</p>
-</blockquote>
-
-<p>Det er spesielt retten til "avtaleinngåelse" jeg synes er urimelig
-å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
-også retten til å kommunsere på vegne av meg med andre brukersteder og
-signering av meldigner synes jeg er problematisk. Jeg må godta at
-banken skal kunne signere for meg på avtaler og annen kommunikasjon
-for å få BankID.</p>
-
-<p>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
-banken rett til å inngå avtaler på vegne av meg svarer Postbankens
-kundestøtte at "Postbanken har valgt BankID for bl.a. pålogging i
-nettbank , så her må du nok ha hele denne løsningen". Jeg nektes
-altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
-signere avtaler på vegne av meg.</p>
-
-<p>Postbankens kundestøtte sier videre at "Det har blitt et krav til
-alle norske banker om å innføre BankID, bl.a på grunn av
-sikkerhet", uten at jeg her helt sikker på hvem som har framsatt
-dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
-fastsatt av <a href="http://www.kredittilsynet.no/">kreditttilsynet</a>
-og <a href="http://www.bbs.no/">BBS</a>.] Det som er situasjonen er
-dog at det er svært få banker igjen som ikke bruker BankID, og jeg
-vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
-gi banken rett til å signere avtaler på mine vegne.</p>
-
-<p>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
-til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
-bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
-kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
-begrensing.</p>
-
-<p>Jeg har klaget vilkårene inn for <a
-href="http://www.forbrukerombudet.no/">forbrukerombudet</a>, men
-regner ikke med at de vil kunne bidra til en rask løsning som gir meg
-nettbankkontroll over egne midler. :(
+<p>Today, the last piece of the puzzle for roaming laptops in Debian
+Edu finally entered the Debian archive. Today, the new
+<a href="http://packages.qa.debian.org/libp/libpam-mklocaluser.html">libpam-mklocaluser</a>
+package was accepted. Two days ago, two other pieces was accepted
+into unstable. The
+<a href="http://packages.qa.debian.org/p/pam-python.html">pam-python</a>
+package needed by libpam-mklocaluser, and the
+<a href="http://packages.qa.debian.org/s/sssd.html">sssd</a> package
+passed NEW on Monday. In addition, the
+<a href="http://packages.qa.debian.org/libp/libpam-ccreds.html">libpam-ccreds</a>
+package we need is in experimental (version 10-4) since Saturday, and
+hopefully will be moved to unstable soon.</p>
+
+<p>This collection of packages allow for two different setups for
+roaming laptops. The traditional setup would be using libpam-ccreds,
+nscd and libpam-mklocaluser with LDAP or Kerberos authentication,
+which should work out of the box if the configuration changes proposed
+for nscd in <a href="http://bugs.debian.org/485282">BTS report
+#485282</a> is implemented. The alternative setup is to use sssd with
+libpam-mklocaluser to connect to LDAP or Kerberos and let sssd take
+care of the caching of passwords and group information.</p>
+
+<p>I have so far been unable to get sssd to work with the LDAP server
+at the University, but suspect the issue is some SSL/GnuTLS related
+problem with the server certificate. I plan to update the Debian
+package to version 1.2, which is scheduled for next week, and hope to
+find time to make sure the next release will include both the
+Debian/Ubuntu specific patches. Upstream is friendly and responsive,
+and I am sure we will find a good solution.</p>
+
+<p>The idea is to set up the roaming laptops to authenticate using
+LDAP or Kerberos and create a local user with home directory in /home/
+when a usre in LDAP logs in via KDM or GDM for the first time, and
+cache the password for offline checking, as well as caching group
+memberhips and other relevant LDAP information. The
+libpam-mklocaluser package was created to make sure the local home
+directory is in /home/, instead of /site/server/directory/ which would
+be the home directory if pam_mkhomedir was used. To avoid confusion
+with support requests and configuration, we do not want local laptops
+to have users in a path that is used for the same users home directory
+on the home directory servers.</p>
+
+<p>One annoying problem with gdm is that it do not show the PAM
+message passed to the user from libpam-mklocaluser when the local user
+is created. Instead gdm simply reject the login with some generic
+message. The message is shown in kdm, ssh and login, so I guess it is
+a bug in gdm. Have not investigated if there is some other message
+type that can be used instead to get gdm to also show the message.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
projects / homepage.git / blobdiff