...
| Info | ||
|---|---|---|
| ||
Для аутетнтификации аутентификации пользователей через linux машины. Помимо токенов с ключами и сертификатов пользователей, вам также необходимо направить им корневой сертификат УЦ. Его можно получить здесь:
|
Установка центра сертификации Active Directory:
Установите драйвера драйверы для работы с Рутокеном на сервер. Их можно получить получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройка Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.
...
Это можно сделать в настройках pam. Для этого в файле /etc/pam.d/common-session активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет будет выглядеть следующем образом:
...
Это можно сделать в настройках pam. Для этого в файле /etc/pam.d/system-auth активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет будет выглядеть следующем образом:
| Code Block | ||||
|---|---|---|---|---|
| ||||
... session required pam_unix.so session optional pam_sss.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 ... |
Проверка аутентификации под пользователем в домене без Рутокена
...
Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:
| Code Block | ||||
|---|---|---|---|---|
| ||||
su user@astradomain.ad |
Настройка клиента для
...
аутентфикации в домене с помощью Рутокена
Упрощенная настройка
Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут (TODO).
Ручная настройка
Установка
...
необходимых пакетов для работу:
| Code Block | ||||
|---|---|---|---|---|
| ||||
# для пользователей систем с менеджером пакетов yum sudo yum install -y nss-tools opensc # для пользователей систем с менеджером пакетов apt-get sudo apt-get install -y libnss3-tools opensc |
...
| Code Block | ||||
|---|---|---|---|---|
| ||||
# перезапустите сервис pcscd на случай, если он выключен sudo systemctl restart pcscd # проверяем наличие сертификатов в БД sudo certutil -L -d /etc/pki/nssdb -h all |
Настройка SSSD
Для того, чтобы аутентификация корректно работала на лок скрине. В настройках sssd нужно указать название сервиса, использующегося при аутентфиикации аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:
...
Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.
MATE → mate-screensaver
X-Cinnamon → cinnamon-screensaver
fly → <Отсутствует>
KDE → kde
...