GlobalProtect-openconnect 项目中的安全存储问题分析与解决方案

问题背景

在GlobalProtect-openconnect 2.0.0版本中，部分Ubuntu 18.04用户遇到了安全存储(Secure Storage)无法正常工作的问题。具体表现为客户端启动时出现错误提示："The Secure Storage is not ready. Couldn't access platform Secure storage. SS error: result not returned from API"。

问题分析

该问题主要与Linux系统的密钥环管理机制有关。GlobalProtect-openconnect客户端需要将配置密钥存储在系统的安全存储中，默认情况下会尝试使用GNOME Keyring作为后端存储服务。当密钥环服务未正确启动或配置时，就会导致上述错误。

从日志分析可以看到以下关键错误信息：

WARN gpgui::app::app_initializer] Can't read the config key from the keyring: Couldn't access platform secure storage: SS error: result not returned from SS API

环境调查

经过调查，出现此问题的环境具有以下特点：

1. 操作系统：Ubuntu 18.04.1
2. 桌面环境：KDE（Kubuntu）
3. 已安装gnome-keyring但未自动启动
4. 密钥环服务未正确集成到系统认证流程中

解决方案

经过多次测试和验证，最终确定以下解决方案：

1. 安装必要组件： 确保系统已安装以下软件包：

   • gnome-keyring：提供密钥环服务
   • seahorse：GNOME密钥环管理工具
   • d-feet：DBus调试工具（用于问题诊断）

2. 配置PAM集成： 将gnome-keyring添加到PAM(Pluggable Authentication Modules)配置中，使其在用户登录时自动启动。这一步确保密钥环服务能够随用户会话自动启动。

3. 创建正确的密钥环： 使用seahorse工具创建一个名为"login"（全小写）的密钥环。这个特定名称的密钥环是GNOME Keyring服务的默认预期名称。

4. 验证服务状态： 通过以下命令验证gnome-keyring-daemon是否正常运行：

   ps aux | grep gnome-keyring
   

   正常情况应显示类似如下的进程：

   /usr/bin/gnome-keyring-daemon --daemonize --login
   

5. 检查DBus服务： 使用d-feet工具验证org.freedesktop.secrets服务是否可用，确保DBus接口正常工作。

技术原理

该问题的本质在于Linux桌面环境的安全存储机制。GNOME Keyring作为 freedesktop.org Secret Service API的实现，为应用程序提供安全的密码存储功能。当以下条件不满足时，就会出现访问问题：

1. 密钥环服务未运行
2. 没有可用的默认密钥环
3. DBus接口不可达
4. PAM集成不完整，导致会话启动时服务未初始化

预防措施

为避免类似问题，建议：

1. 在安装桌面环境时，确保选择包含完整密钥环支持的配置
2. 对于KDE用户，可以考虑安装并配置KWallet与GNOME Keyring的集成
3. 定期检查密钥环服务状态，确保其正常运行
4. 在系统升级后，验证密钥环功能是否仍然可用

总结

GlobalProtect-openconnect客户端依赖系统的安全存储服务来保护敏感配置信息。通过正确配置GNOME Keyring服务，特别是确保其通过PAM集成在用户登录时自动启动，并创建名为"login"的默认密钥环，可以有效解决安全存储不可用的问题。这一解决方案不仅适用于GlobalProtect-openconnect项目，对于其他依赖系统密钥环的应用程序也具有参考价值。