Hoofdstuk 6. Systeembeheerdersgids

De systeembeheerdersgids beschrijft de manieren waarop Kleopatra kan worden aangepast, die niet toegankelijk zijn via de GUI, maar alleen via de instellingenbestanden.

De veronderstelling is dat de lezer bekend is met de technologie die wordt gebruikt voor het instellen van KDE toepassingen, inclusief de indeling, locatie van het bestandssysteem en opstapelen van instellingenbestanden, evenals het KIOSK-framework.

Aanpassen van de assistent Certificaat aanmaken

Aanpassen van de DN-velden

Kleopatra stelt u in staat de velden, die de gebruiker mag invoeren, aan te passen om hun certificaat aan te maken.

Maak een groep genaamd CertificateCreationWizard in de systeembrede kleopatrarc. Als u een eigen volgorde van attributen wilt of als u alleen bepaalde items wilt laten verschijnen, maak dan een sleutel genaamd DNAttributeOrder. Het argument is een of meer uit CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,EMAIL. Als u velden met een bepaalde waarde wilt initialiseren, schrijf dan zoiets als Attribuut=waarde. Als u het attribuut als vereist wilt behandelen, voeg dan een uitroepteken achter (bijv. CN!,L,OU,O!,C!,EMAIL!, hetwelk de standaard instelling is).

Met gebruik van de KIOSK modus-modifier $e kunt u de waarden uit omgevingsvariabelen halen of uit een uitgevoerd script of binair programma. Als u bovendien bewerking van het respectievelijke wilt verbieden, gebruik dan de modifier $i. Als u het gebruik van de knop Mijn adres invoegen wilt verbieden, zet ShowSetWhoAmI dan op false.

Tip

Vanwege de aard van het KDE KIOSK framework, maakt het gebruik van de niet-te-vervangen vlag ($i) het voor de gebruiker onmogelijk om de vlag te negeren. Dit is bewust gedrag. $i en $e kunnen ook worden gebruikt met alle andere instellingensleutels in KDE toepassingen.

Het volgende voorbeeld legt uit wat de mogelijke aanpassingen zijn:

[CertificateCreationWizard]
;Sta niet toe persoonlijke gegevens uit het adresboek te kopiëren, evenzo lokaal overschrijven
ShowSetWhoAmI[$i]=false

;stelt de gebruikersnaam in op $USER
CN[$e]=$USER

;stelt de bedrijfsnaam in op "Mijn bedrijf", bewerken niet toegestaan
O[$i]=Mijn bedrijf

;stelt de afdelingsnaam in op een waarde teruggegeven door een script
OU[$ei]=$(lookup_dept_from_ip)

; stel het land in op NL, maar mag door de gebruiker gewijzigd worden
C=NL

Beperken van de types sleutels die een gebruiker mag aanmaken

Kleopatra kan ook beperken welk type certificaten een gebruiker mag aanmaken. Let op, hier is gemakkelijk omheen te gaan, de gebruiker kan deze nog steeds op de opdrachtregel aanmaken.

Algoritmes voor publieke sleutels

Om het te gebruiken algoritme voor de publieke sleutel te beperken, voegt u de configuratiesleutel PGPKeyType (en CMSKeyType, echter alleen RSA is voor CMS ondersteund) aan de sectie CertificateCreationWizard van kleopatrarc toe.

De toegestane waarden zijn RSA voor RSA-sleutels, DAS voor DSA-sleutels (alleen ondertekenen) en DSA+ELG voor een DSA-sleutel (alleen ondertekenen) met een Elgamal-subsleutel voor versleuteling.

De standaard wordt gelezen uit GpgConf of is anders RSA als GpgConf geen standaard levert.

Grootte publieke sleutel

Om de beschikbare sleutellengtes voor een publiek algoritme te beperken, voegt u de configuratiesleutel <ALG>KeySizes (waar ALG RSA, DSA of ELG) mag zijn, toe aan de sectie CertificateCreationWizard van kleopatrarc, die een komma-gescheiden lijst van sleutellengtes (in bits) bevat. Een standaard kan worden aangeduid door de sleutellengte te laten voorafgaan door een minteken (-).

RSAKeySizes = 1536,-2048,3072
            

Het bovenstaande beperkt de toegestane RSA sleutelgrootte tot 1536, 2048 en 3072, met 2048 als de standaard.

Naast de lengtes zelf, mag u labels voor elk van de lengtes specificeren. Stel eenvoudig de configuratiesleutel in op ALGKeySizeLabels in op een komma-gescheiden lijst van labels.

RSAKeySizeLabels = weak,normal,strong
            

Het bovenstaande, in combinatie met het vorige voorbeeld, zou zoiets als de volgende opties voor selectie laten zien:

weak (1536 bits)
              normal (2048 bits)
              strong (3072 bits)
            

De standaarden zijn zoals het volgende laat zien:

RSAKeySizes = 1536,-2048,3072,4096
              RSAKeySizeLabels =
              DSAKeySizes = -1024,2048
              DSAKeySizeLabels = v1,v2
              ELGKeySizes = 1536,-2048,3072,4096