<div dir="ltr"><div dir="ltr">> 
What dconf workaround would that be? I don't see one in the previous<br>
messages to this bug. <br></div><div dir="ltr"><br></div><div>Very sorry, I got confused: I read somewhere that creating a file in /etc/dconf/[subdirectory I can't remember] would've solved this.<br></div><div>I can't find the place I read that anymore, and for some reason I believed it was in this bug; 
however, I think it was exactly what the RedHat guide you linked describes.

</div><div><br></div><div>> 
The intended way to change the settings of the Debian-gdm user is to edit /etc/gdm3/greeter.dconf-defaults [...]</div><div><br></div><div>Understood, thank you; I'll keep this in mind.</div><div><br></div><div>> I personally think using smart cards as orthogonal to PAM authentication<br>> is likely to be more common than using them for PAM authentication [...]</div><div><br></div><div>Agreed; I also think there's more users tinkering with smart cards (or installing smart card tooling as a dependency to some other software) than there are users using them for authentication.</div><div><br></div><div></div><div>I don't know exactly what triggered this behaviour in GDM; I tried to reproduce on a VM by installing opensc (which pulled in pcscd too) and upgrading first to trixie and then sid, but nothing triggered it. It may be another package, happy to test if you have suggestions.<br></div><div><br></div><div>> Or, perhaps enable-smartcard-authentication should be one of the fields<br>> that is included in our example /etc/gdm3/greeter.dconf-defaults ready<br>> for users to edit? The default could be either true or false, whichever<br>> seems more appropriate.</div><div><br></div><div>
IMO 

this seems appropriate, and matches your intention of not touching Marco's design; I would default to false and document this as a requirement for using smart card authentication, but it may be considered a breaking change (the current default is true, I believe) so I'm not sure how you want to handle it.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 21, 2024 at 3:55 PM Simon McVittie <<a href="mailto:smcv@debian.org" target="_blank">smcv@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, 21 Jun 2024 at 12:55:34 +0200, C wrote:<br>
> Neither [...], nor setting the gsettings entry<br>
> on my user or as root, worked and I suspect it's because the value on the<br>
> Debian-gdm user takes precedence.<br>
<br>
Setting a gsettings entry for your user or for root is not expected to<br>
affect the behaviour of the gdm greeter, because the gdm greeter does not<br>
run as your user, or as root: it runs as Debian-gdm (or as gdm on Ubuntu).<br>
So that part is as working as designed: if you want to change the behaviour<br>
of the greeter, it is the Debian-gdm user's settings that must be changed,<br>
and no other user's personal settings are going to affect it.<br>
<br>
> Neither the dconf workaround suggested above, nor [...], worked<br>
<br>
What dconf workaround would that be? I don't see one in the previous<br>
messages to this bug.<br>
<br>
The intended way to change the settings of the Debian-gdm user is to edit<br>
/etc/gdm3/greeter.dconf-defaults. In this case I think the equivalent would<br>
be to locate the line "[org/gnome/login-screen]" and fill in<br>
"enable-smartcard-authentication=false" below it, so it looks<br>
something like this:<br>
<br>
...<br>
[org/gnome/login-screen]<br>
enable-smartcard-authentication=false<br>
logo='/usr/share/images/vendor-logos/logo-text-version-64.png'<br>
...<br>
<br>
And then restart gdm (the easiest/most reliable way is to reboot).<br>
<br>
However, if you have already used a workaround that edits the user's<br>
settings, like this one:<br>
<br>
> sudo -u Debian-gdm env -u XDG_RUNTIME_DIR -u DISPLAY DCONF_PROFILE=gdm<br>
> dbus-run-session gsettings set org.gnome.login-screen<br>
> enable-smartcard-authentication false<br>
<br>
then that is probably going to take a higher priority than whatever you<br>
write into /etc/gdm3/greeter.dconf-defaults.<br>
<br>
> For the record I didn't try the other suggestion in the bug (creating /etc/<br>
> pam.d/gdm-password and using update-alternatives to set that as the default for<br>
> gdm-smartcard), but maybe Debian should have this as an option for people that<br>
> run into this issue?<br>
> If that's a valid option then believe it would be a simple addition to have<br>
> that file (even called something else, like "gdm-no-smartcard",<br>
> "gdm-password-only", etc.) in place, even if it's not the default.<br>
<br>
Marco designed the smart card handling setup that is currently used in<br>
Debian, so I'm not going to make changes to it without understanding his<br>
design intentions.<br>
<br>
I personally think using smart cards as orthogonal to PAM authentication<br>
is likely to be more common than using them for PAM authentication, and<br>
if I understand correctly, using smart cards for authentication needs<br>
sysadmin configuration *anyway* to associate each smartcard with a user<br>
ID; so I would personally prefer it if the default was to use ordinary<br>
password authentication, with some sort of opt-in for using smart cards<br>
to authenticate, which sysadmins would be expected to enable after they<br>
have enrolled users (set up the smartcard -> user mapping).<br>
<br>
In RHEL, it seems to be opt-in:<br>
<a href="https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/html/using_the_desktop_environment_in_rhel_8/authenticating-the-user-in-the-desktop-environment_using-the-desktop-environment-in-rhel-8#configuring-smartcard-authentication-in-gdm-using-the-command-line_authenticating-the-user-in-the-desktop-environment" rel="noreferrer" target="_blank">https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/html/using_the_desktop_environment_in_rhel_8/authenticating-the-user-in-the-desktop-environment_using-the-desktop-environment-in-rhel-8#configuring-smartcard-authentication-in-gdm-using-the-command-line_authenticating-the-user-in-the-desktop-environment</a><br>
Doing the equivalent in Debian/Ubuntu might make more sense than trying<br>
to guess whether smart card authentication is wanted from whether smart<br>
card hardware happens to be plugged in?<br>
<br>
Or, perhaps smart card authentication could be active if and only if<br>
at least one smartcard -> user mapping has been created?<br>
<br>
Or, perhaps enable-smartcard-authentication should be one of the fields<br>
that is included in our example /etc/gdm3/greeter.dconf-defaults ready<br>
for users to edit? The default could be either true or false, whichever<br>
seems more appropriate.<br>
<br>
     smcv<br>
</blockquote></div></div>