Портал документации Рутокен

Page tree

Versions Compared

Old Version 9

changes.mady.by.user Кийко Алексей

Saved on

compared with

New Version Current

changes.mady.by.user Осьминина Анастасия

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Введение

В данной инструкции описывается, как настроить модуль pam_pkcs11 для работы с библиотекой librtpkcs11ecp.so.

...

Нам понадобится токен или смарт-карта семейства Рутокен ЭЦП, отформатированные через Панель управления Рутокен Утилита администрирования Рутокен (rtadmin).

Настройки для токена и смарт-карты идентичны.

...

Если вы используете смарт-карту Рутокен, то проверку проходить не требуется.

Общий порядок действий

...

Установка необходимых пакетов и их

...

зависимостей

Для этого вы можете воспользоваться Терминалом:

...

  • opensc,
  • pam_pkcs11,
  • pcsc-lite-ccid,
  • openssl-engine_pkcs11.

...

Установка библиотеки PKCS#11 для вашей системы

Если установка завершилась корректно, то в папке /usr/lib (или /usr/lib64) появится библиотека librtpkcs11ecp.so.

...

Проверка работы токена или смарт-карты

Подключаем токен или смарт-карту к компьютеру. Запускаем dmesg и убедимся в том, что устройство определилось корректно.

...

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T

...

Создание ключевой пары

Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации.

...

--module <arg>путь к библиотеке pkcs11 (обязательный параметр)
--keypairgen
генерация ключевой пары
-- key-type <arg>задает тип и длину ключа. В нашем случае тип – rsa, длина - 2048 бит (с длиной ключа 1024 бит возникают проблемы)
-lзапрос PIN-кода токена до каких-либо операций с ним (обязательный параметр)
--id <arg>

определяет id создаваемого объекта (понадобится при создании сертификата)

...

Создание сертификата в формате PEM

Запускаем openssl и подгружаем модуль поддержки pkcs11:

...

-keyуказывает закрытый ключ (в нашем случае 0:45 – слот:ID ключа)
-x509
выдает самоподписанный сертификат

...

Конвертация сертификата из формата PEM в формат CRT (DER) 

OpenSSL> x509 -in cert.pem -out cert.crt -outform DER

...

Сохранение сертификата на аутентифицирующий носитель

Закрываем openssl (используя команду exit). Cохраняем сертификат CRT на Рутокен. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.

...

-y <arg>тип объекта (может быть cert, privkey, pubkey, data)
-w <arg>
записать объект на токен

...

Проверка, что на токене есть всё, что необходимо

Внимание! При выполнении команды запрашивается PIN-код пользователя.

...

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l

9 Включаем аутентификацию Включение аутентификации по внешнему носителю

Потребуются права суперпользователя:

...

на вопрос об удалении ссылки следует ответить "y"

...

Редактирование конфигурации аутентификации в системе

Отредактируем первую строку файла конфигурации /etc/pam.d/system-auth. 

...

auth        [success=1 default=ignore]  pam_pkcs11.so pkcs11_module=/usr/lib64/librtpkcs11ecp.so

...

Редактирование конфигурации pam_pkcs11

Отредактируем файл /etc/security/pam_pkcs11/pam_pkcs11.conf

...

mapper_search_path = /lib/pam_pkcs11; на строку mapper_search_path = /lib64/pam_pkcs11;

...

Добавление связки сертификата на токене с пользователем системы ALT Linux.

Добавляем сертификат в список доверенных сертификатов

$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates

...

Проверка настроек

Проверьте, что настройка была выполнена верно, используя команду login. Не завершайте свою сессию, пока не убедитесь в том, что все работает корректно.

...

Не забудьте отключить вывод дополнительной информации после настройки системы.

14 Настройка завершена!

На этом настройка закончена. После перезапуска ОС окно входа в систему будет выглядеть так:

...

Другие пользователи

При необходимости добавить вход по токену для других пользователей следует:

...