Портал документации Рутокен

Page tree

Versions Compared

Old Version 8

changes.mady.by.user Техническая поддержка Рутокен

Saved on

compared with

New Version 9

changes.mady.by.user Анфимов Павел

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Info
titleПользователям Astra Linux

Настройка двухфакторной аутентификации в домене Astra Linux Directory



Table of Contents
maxLevel4

...

...

Убедитесь, что используете: Aktiv Rutoken ECP

...

Стенд

  • две виртуальные машины с Ubuntu 12.10 x86две виртуальные машины с Astra Linux 1.3 x64
Note
Важно: время на клиенте и сервере должно быть синхронизировано. Невыполнение этого требования может привести к возникновению проблем.

...

  • <username> = testuser
  • <realm> = AKTIV-TEST
  • <server> = aktiv-test.ru

...

  • Установлены krb5-user, krb5-config, krb5-pkinit
  • default realm: AKTIV-TEST
  • сервера (kdc, admin) указаны по IP-адресу (лучше указать их в /etc/hosts)

Astra Linux 1.3 Смоленск 

  • <username> = test1
  • <realm> = RUSBITECH.RU
  • <server> = server.rusbitech.ru
Клиент

Установлены стандартные пакеты для работы с токенами (openct, opensc)

Сервер и клиент
  • Kerberos realm: RUSBITECH.RU, доменное имя server.rusbitech.ru (прописано в /etc/hosts на клиенте)
  • Пользователи: test1@RUSBITECH.RU

Добавочно к предустановленным пакетам ald/kerberos установлен krb5-pkinit (krb5-pkinit_1.10.1+dfsg-3_amd64.deb, Debian Wheezy):

Code Block
languagebash
$ dpkg -i --force-depends krb5-pkinit_1.10.1+dfsg-3_amd64.deb 


Общий порядок действий

1.

...

  Установить пакеты и создать новый realm

Для Astra Linux достаточно только установить krb5-pkinit

1.1 Сервер
Code Block
languagebash
$ sudo apt-get install krb5-kdc krb5-admin-server krb5-pkinit
# В диалогах указать:
# realm = AKTIV-TEST
# домен = aktiv-test.ru
$ sudo krb5_newrealm
# ввести пароль

...

Code Block
languagebash
[domain_realm]
	.aktiv-test.ru = AKTIV-TEST
	aktiv-test.ru = AKTIV-TEST

2.

...

Завести на сервере нового пользователя с помощью kadmin.local 

Code Block
languagebash
$ sudo kadmin.local
# username = testuser
# password = test
kadmin.local:$ addprinc <username>
# ...
kadmin.local:$ quit

...

5.1.4 Включить preauth на сервере.Astra Linux: надо просто переписать секцию kdcdefaults из примера ниже:

Code Block
languagebash
title/etc/krb5kdc/kdc.conf
collapsetrue
[kdcdefaults]
    kdc_tcp_ports = 88
    pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
    pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem
[realms]
    AKTIV-TEST = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }

...