Startseite › M-IDentity: USB-Stick der Migros-Bank auf RedHat 5.x und Fedora 13

M-IDentity: USB-Stick der Migros-Bank auf RedHat 5.x und Fedora 13

Do, 01/07/2010 - 15:45 – admin

Kein Support für Fedora und Redhat (Centos)

M-IDentity läuft, nach einem Update des Sticks, ohne Probleme auf Fedora 13 (12) und RedHat 5.x (CentOS).

Die Migrosbank, resp. diejenigen Stellen der Migrosbank, die den Support für das Internetbanking liefern sollten, tun sich, freundlich ausgedrückt, nicht gerade mit grosser Hilfsbereitschaft hervor, wenn es um das Inbetriebnehmen ihrer M-IDentity Sticks unter Linux geht. Die lapidare und wenig kundenfreundliche Antwort lautet "Wir unterstützen nur das, was auf unserer Homepage steht". Weiter wird einem mitgeteilt: "Auf Fedora läuft der USB-Stick M-IDentity nicht". Doch! Siehe nebenstehender Screenshot (Klick vergrössert).

Veraltete Informationen und Sicherheitsmängel durch schlechte Anpassungen

Auf der Seite faq M-IDentity stehen immer noch fast die selben veralteten Informationen von 2008 (siehe unten). Zudem stellen manche Empfehlungen erhebliche Sicherheitsrisiken dar: Jegliches USB Device (mit Ausnahme Suse 11.1) wird einfach auf world-write(!) gesetzt. Jedes Device darf nun von jedem beschrieben werden - auch die externe via USB angeschlossene Harddisk - wegen eines Security-Sticks (sic!). Stattdessen beschränkt man Setzen der Rechte auf world-write nur auf genau diese Art Stick und, noch besser, vergibt die Schreibrechte nur an eine bestimmte Gruppe von Usern, dadurch braucht es dann auch kein world-write (0777) mehr. (Die User müssen dann auch als Mitglied der Gruppe eingetragen werden).)

1. Schritt: Update auf die neueste Version

Die Update-Funktion scheint unter Linux gar nicht erst zu funktionieren und hat wohl auch nie wirklich funktioniert, auch wenn der Stick an einer der von der Migros-Bank offiziell unterstützten Linux-Distributionen betrieben wird oder wurde. So muss notgedrungenermassen ein Windows-System gestartet werden und dort "Start_MIDentity_Win.exe" ausgeführt werden. Das Update wird dann innert Minuten durchgeführt.

2. Schritt: Änderungen an einer Regel des Device Managers "udev"

Editieren von /etc/udev/rules.d/85-pcscd_ccid.rules als user root, unter gnome bspw. mit gedit.
Es muss der Eintrag , RUN+="/usr/sbin/Kobil_mIDentity_switch" entfernt werden und die Zugriffsechte auf MODE="0664" gesetzt werden. Benützt kann der Stick damit nur von Usern, die Mitglied der Gruppe "users" sind. (Gegebenenfalls die gewünschten User der Gruppe zufügen). 

ALT (Fedora 13)
# Kobil mIDentity
SUBSYSTEMS=="usb", ATTRS{idVendor}=="0d46", ATTRS{idProduct}=="4081", RUN+="/usr/sbin/Kobil_mIDentity_switch"
ALT (RedHat/CentOS 5.5)
BUS=="usb", SYSFS{idVendor}=="0d46", SYSFS{idProduct}=="4081", RUN+="/usr/sbin/Kobil_mIDentity_switch"
NEU (Fedora 13) 
# Kobil mIDentity
SUBSYSTEMS=="usb", ATTRS{idVendor}=="0d46", ATTRS{idProduct}=="4081", MODE="0664", GROUP="users"
NEU (RedHat/CentOS 5.5)
# Kobil mIDentity
BUS=="usb", SYSFS{idVendor}=="0d46", SYSFS{idProduct}=="4081", MODE="0664", GROUP="users"

Alternativ ginge es auch mit folgendem Eintrag, jedoch hätte alles vollen Schreibzugriff für alles (world) auf den Stick (aber nur auf diesen).

# Kobil mIDentity
SUBSYSTEMS=="usb", ATTRS{idVendor}=="0d46", ATTRS{idProduct}=="4081", MODE="0666"

Die (alte) faq M-IDentity der Migros-Homepage (Stand 01. Juli 2010).

Was kann ich machen, wenn ich unter Linux die Mitteilung erhalte, dass der Zugriff auf M-IDentity nicht möglich ist?

Damit M-IDentity unter Linux mit eingeschränkten Benutzerrechten betrieben werden kann, ist es erforderlich, die Zugriffsrechte für USB Geräte einmalig zu konfigurieren. Zur Konfiguration dieser Einstellungen benötigen Sie Administrationsrechte. Der nachfolgende Eingriff muss einmal vorgenommen werden und ab dann können auch Benutzer ohne Administrationsrechte M-IDentity benutzen.

Je nach dem welches Linux – Betriebssystem Sie verwenden, kommen verschiedene Konfigurationsdateien in Frage, welche bearbeitet werden müssen. Öffnen Sie die entsprechende Datei mit einem Editor und suchen Sie den Abschnitt, welcher zur Einstellung der Zugriffsrechte für USB Geräte dient. Dort müssen die Rechte dann so gesetzt werden, dass auch normale Benutzer schreibenden Zugriff auf USB Geräte erhalten.

Die nachfolgende Liste zeigt, wo die zu bearbeitende Datei unter den jeweiligen Distributionen zu finden ist und wie diese angepasst werden muss:

SUSE Linux ab Version 10.1
Pfad: "/etc/udev/rules.d"
Datei: 50-udev-default.rules
Zeile: SUBSYSTEM==“usb“, <…> MODE=“0664“ ändern in:
SUBSYSTEM==“usb“, <…> MODE=“0666“

SUSE Linux Version 11.1
Pfad: "/etc/udev/rules.d"
Datei: 55-libsane.rules
Einfügen:
# KOBIL mIDentity
ATTR{idVendor}=="0d46",ATTR{idProduct}=="4081", MODE="0666",GROUP="users",ENV{libsane_matched}="yes"

Ubuntu Linux Version 7.04 + 7.10
Pfad: "/etc/udev/rules.d"
Datei: 40-permissions.rules
Zeile: SUBSYSTEM==“usb_device“, <…> MODE=“0664“ ändern in:
SUBSYSTEM==“usb_device“, <…> MODE=“0666“

Ubuntu Linux ab Version 8.04
Pfad: "/etc/udev/rules.d"
Datei: 40-basic-permissions.rules
Zeile: SUBSYSTEM==“usb“, <…> MODE=“0664“ ändern in:
SUBSYSTEM==“usb“, <…> MODE=“0666“

Ubuntu Linux ab Version 9.04
Pfad: "/lib/udev/rules.d"
Datei: 50-udev-default.rules
Zeile: SUBSYSTEM==“usb“, <…> MODE=“0664“ ändern in:
SUBSYSTEM==“usb“, <…> MODE=“0666“