Рутокен Логон для Linux. Версия 1.0.0. Руководство администратора

Общая информация

Настоящее руководство администратора предназначено для сотрудников, осуществляющих системное администрирование программного комплекса "Рутокен Логон для Linux" для локальных и доменных УЗ. 

Руководство определяет порядок действий при подготовке к установке, удалению и настройке программного комплекса "Рутокен Логон для Linux".

Сотрудники, осуществляющие установку, настройку и обслуживание программного комплекса "Рутокен Логон для Linux", должны обладать следующими навыками:

• знание и опыт работы с операционными системами семейства Linux на уровне администратора;
• знание и опыт администрирования компьютерных сетей;
• знание и опыт установки и настройки контроллеров домена. 

О программном комплексе

Назначение

Рутокен Логон для Linux (далее по тексту – rtlogon) – это программный комплекс, предназначенный для настройки, управления и использования схемы двухфакторной аутентификации пользователей в ОС семейства Linux. В качестве первого фактора аутентификации используется наличие подключенного к ПК ключевого носителя, в качестве второго – секрет, хранящийся на ключевом носителе, доступ к которому предоставляется только после предъявления верного PIN-кода.

В качестве секрета может использоваться:

• сложный пароль;
• закрытый ключ.

rtlogon поддерживает следующие типы аутентификации:

• по количеству используемых факторов:
  • 2ФА:
    • по наличию подключенного к ПК ключевого носителя и ключевой паре – 2ФА по сертификату;
    • по наличию подключенного к ПК ключевого носителя и сложному паролю – 2ФА по сложному паролю.
  • 1ФА по логину и паролю УЗ (настраивается вне rtlogon).
• по типу УЗ, для которой настраивается аутентификация:
  • локальная;
  • доменная.

Состав

rtlogon состоит из следующих компонентов:

• rtlogon-cli;
• rtlogon_event-monitor;
• pam_rtlogon.so;
• GUI:
  • экран приветствия (Greeter):
    • libfly-dmgreet_rtlogon.so;
    • lightdm-rtlogon-greeter.
  • экран блокировки (Lock Screen):
    • rtlogon-lock-screen;
    • lightdm-rtlogon-greeter;
    • rtlogon-lockpam.
• rtlogon_log.

Описание компонентов

• rtlogon-cli – консольная утилита, предназначенная для:
  • настройки ОС для работы с 2ФА;
  • реконфигурации ОС для работы с 2ФА;
  • отключения настроек ОС для работы с 2ФА;
  • создания и удаления 2ФА;
  • создания запроса на получение сертификата УЗ и генерации самоподписанного сертификата (ключевая пара при этом записывается на ключевой носитель);
  • смены PIN-кода;
  • предоставление информации о ключевом носителе, конфигурации rtlogon и параметрах настроенной локальной 2ФА;
  • сбора лог-файла с информацией о системе и ее логами;
  • экспорта лог-файлов, конфигурационных файлов и файлов с параметрами настроенной локальной 2ФА.
• rtlogon_event-monitor – приложение-сервис, предназначенный для:
  • контроля запуска системного экрана блокировки (Lock Screen);
  • контроля за операциями над ключевым носителем, использовавшимся при последней аутентификации;
  • выполнения политики ОС при отключении ключевого носителя от ПК во время активной пользовательской сессии.
• pam_rtlogon.so – PAM-модуль, интегрируемый в ОС Linux. Предназначен для аутентификации пользователя с настроенной 2ФА;
• GUI – набор компонентов, реализующих графический пользовательский интерфейс для аутентификации пользователя в ОС:
  • Экран приветствия (Greeter):
    • libfly-dmgreet_rtlogon.so – библиотека (плагин) для экрана приветствия ОС Astra Linux;
    • lightdm-rtlogon-greeter – универсальное приложение, реализующее экраны приветствия и блокировки для экранного менеджера LightDM.
  • Экран блокировки (Lock Screen):
    • rtlogon-lock-screen – приложение экрана блокировки для ОС Astra Linux;
    • lightdm-rtlogon-greeter – универсальное приложение, реализующее экраны приветствия и блокировки для экранного менеджера LightDM;
    • rtlogon-lockpam – PAM-приложение для экрана блокировки ОС Astra Linux.
• rtlogon_log – сервер логирования.

Описание работы

Для успешного входа в ОС пользователь должен подключить свой ключевой носитель к ПК и ввести PIN-код.

ОС аутентифицирует пользователя на основе данных, размещенных в защищенной памяти ключевого носителя: сложный пароль или закрытый ключ.

rtlogon позволяет задать следующие способы входа в ОС для локальной 2ФА:

• вход только по сертификату;
• вход по сертификату или логину/паролю;
• вход по сложному паролю.

При доменной 2ФА способ входа в ОС настраивается на стороне КД.

Также rtlogon позволяет настроить политику ОС при отключении ключевого носителя от ПК:

• вызов экрана блокировки;
  В этом случае для возобновления доступа необходимо снова подключить ключевой носитель к ПК и ввести PIN-код или ввести обычный логин и пароль УЗ.
• продолжение активной пользовательской сессии.

Доменная 2ФА по сертификату

Для реализации доменной 2ФА по сертификату необходимо сначала выполнить ее настройку, а потом провести аутентификацию пользователя.

Настройка доменной 2ФА по сертификату выполняется по следующей схеме:

1. Генерация сертификата пользователя:
   1. Администратор, используя rtlogon, создает и записывает на ключевой носитель ключевую пару и формирует запрос на получение сертификата пользователя.
   2. Администратор передает сформированный запрос в УЦ.
   3. УЦ создает сертификат пользователя.
   4. Администратор загружает сертификат пользователя на ПК.
2. Настройка доменной 2ФА по сертификату с использованием rtlogon, в процессе которой сертификат загружается на ключевой носитель.

Процесс аутентификации пользователя выполняется по следующей схеме:

1. Пользователь получает ключевой носитель и подключает его к ПК.
2. Пользователь на экране ПК вводит PIN-код, после чего в системе инициируется запрос на аутентификацию и отправляется КД.
3. После получения запроса КД отправляет на ПК набор данных для подписи.
4. С помощью закрытого ключа, хранящегося на ключевом носителе, данные подписываются и возвращаются КД.
5. КД проверяет подпись и при положительном результате аутентифицирует пользователя. 

Локальная 2ФА по сертификату

Для реализации локальной 2ФА по сертификату необходимо сначала выполнить ее настройку, а потом провести аутентификацию пользователя.

Настройка локальной 2ФА по сертификату выполняется по следующей схеме:

1. Генерация сертификата пользователя.
   Администратор, используя rtlogon, создает и записывает на ключевой носитель ключевую пару, создает сертификат и сам его подписывает (генерирует самоподписанный сертификат).
2. Настройка локальной 2ФА по сертификату с использованием rtlogon, в процессе которой сертификат загружается на ключевой носитель.

Процесс аутентификации пользователя выполняется по следующей схеме:

1. Пользователь получает ключевой носитель и подключает его к ПК.
2. Пользователь на экране ПК вводит PIN-код, после чего в системе инициируется запрос на аутентификацию.
3. Система формирует набор данных для подписи.
4. С помощью закрытого ключа, хранящегося на ключевом носителе, данные подписываются.
5. Система проверяет подпись и при положительном результате аутентифицирует пользователя.

Доменная 2ФА по сложному паролю

Для реализации доменной 2ФА по сложному паролю необходимо сначала выполнить ее настройку, а потом провести аутентификацию пользователя.

Настройка доменной 2ФА по сложному паролю выполняется с помощью rtlogon. В процессе настройки в КД генерируется сложный пароль и дублируется на ключевой носитель.

Процесс аутентификации пользователя выполняется по следующей схеме:

1. Пользователь получает ключевой носитель и подключает его к ПК.
2. Пользователь на экране ПК вводит PIN-код, после чего в системе инициируется запрос на аутентификацию и отправляется КД.
3. После получения запроса КД отправляет свой запрос на предоставление сложного пароля.
4. Сложный пароль, хранящийся на ключевом носителе, передается КД.
5. КД проводит сверку сложных паролей и при положительном результате аутентифицирует пользователя.

Локальная 2ФА по сложному паролю

Для реализации локальной 2ФА по сложному паролю необходимо сначала выполнить ее настройку, а потом провести аутентификацию пользователя.

Настройка локальной 2ФА по сложному паролю выполняется с помощью rtlogon. В процессе настройки в системе генерируется сложный пароль и дублируется на ключевой носитель.

Процесс аутентификации пользователя выполняется по следующей схеме:

1. Пользователь получает ключевой носитель и подключает его к ПК.
2. Пользователь на экране ПК вводит PIN-код, после чего в системе инициируется запрос на аутентификацию.
3. Система проводит сверку сложного пароля, хранящегося на ключевом носителе, и сложного пароля, хранящегося в системе, и при положительном результате аутентифицирует пользователя.

Поддерживаемое окружение

Поддерживаемые устройства

• Рутокен Lite;
• устройства Рутокен ЭЦП 2.0;
• устройства Рутокен ЭЦП 3.0;
• JaCarta ГОСТ;
• JaCarta PKI/ГОСТ.

Поддерживаемые платформы

• х86_64;
• ARM64.

Поддерживаемые ОС

• Astra Linux SE 1.7.2 и новее, SE 1.8.1 и новее (включая работу в режиме замкнутой программной среды (ЗПС)) с уровнями защищенности:
  • Орел;
  • Воронеж;
  • Смоленск.

• ОС Альт 8 СП, релиз 10;
• ОС Альт 8.4 СП;
• ОС Альт 10;
• РЕД ОС 7.3;
• РЕД ОС 8.

Поддерживаемые графические окружения

• для ОС Astra Linux – Fly;
• для ОС Альт:
  • KDE;
  • Mate.
• для ОС РЕД ОС:
  • Mate;
  • Cinnamon;
  • KDE.

Поддерживаемые контроллеры домена

• ALD Pro 2.1, 2.4;
• Active Directory;
• FreeIPA 4.9.11;
• Samba DC версии:
  • 4.13.13 и новее – для Astra Linux 1.7;
  • 4.19.12 и новее – для РЕД ОС 7.3;
  • 4.19.7 и новее – для ОС Альт 10;
  • 4.9.18 и новее – для ОС Альт 8 СП, релиз 10.

Необходимые библиотеки и зависимости

• libpam версии:

  • 1.1.8 – для ОС Astra Linux;

  • 1.1.6 – для ОС Альт;

  • 1.1.8 – для ОС РЕД ОС.

• PKCS#11:

  • librtpkcs11ecp.so версии 2.14.1 и новее – для устройств Рутокен;

  • libjcPKCS11-2.so версии 2.8.0 и новее – для устройств JaCarta.

• Network manager 1.8.9 и новее;

• krb5-pkinit (для доменной сети);

• sssd-1.16.4;

• pam 1.1.8;

• libc6 2.12;

• pcsc-lite 1.8.22;

• pcsc-lite-ccid 1.4.26;

• pcscd 1.8.22;

• liblightdm-qobject 1.16.7 (кроме ОС Astra Linux);

• glib2 2.46.2;

• qt5-qtbase 5.6.1;

• qt5-x11extras-common 5.6.1;

• libqt5-widgets 5.6.1;

• libqt5-concurrent 5.6.1;

• libqt5-svg 5.6.1;

• libqt5-core 5.6.1;

• lightdm 1.16.7 (кроме ОС Astra Linux);

• libqt5x11extras5 5.6.1 (только для ОС Astra Linux);

• lightdm 1.16.7 (только для ОС Astra Linux);

• liblightdm 1.16.7 (только для ОС Astra Linux);

• libglib2.0-0 2.46.2 (кроме ОС Astra Linux).

Все необходимые для rtlogon зависимости присутствуют в репозиториях поддерживаемых ОС, за исключением библиотеки libjcPKCS11-2.so. 

Установка библиотеки libjcPKCS11-2.so описана в разделе Установка библиотеки libjcPKCS11-2.so.

Лицензирование продукта

Общая информация

Чтобы иметь возможность работать с rtlogon в сети должен быть развернут сервер лицензирования с активированной лицензией программного ключа Guadant DL.

Выбор ПК для установки сервера лицензирования зависит от используемого сценария аутентификации:

• если rtlogon будет использоваться только для локальной аутентификации на распределенных ПК, то рекомендуется устанавливать сервер лицензирования на каждый ПК пользователя;
• если rtlogon будет использоваться для доменной или локальной аутентификации на ПК внутри одной сети, то рекомендуется устанавливать сервер лицензирования на отдельный ПК.

Для корректной работы механизма лицензирования rtlogon необходимо, чтобы все ПК пользователей имели сетевое соединение с ПК сервера лицензирования по порту 3189.

Чтобы подготовить сервер лицензирования и активировать лицензию:

1. Установите сервер лицензирования в сети.
2. Запустите утилиту Мастер лицензий Guardant.
3. С помощью Мастера лицензий Guardant активируйте лицензию программного ключа Guardant DL на сервере лицензирования.

Установка сервера лицензирования

Чтобы установить сервер лицензирования:

1. Скачайте с поставочного комплекта установочный пакет grdcontrol для необходимой платформы ПК и ОС:
   • grdcontrol-[версия grdcontrol]_arm64.deb – для ОС Astra Linux и deb-based дистрибутивов на ARM64;
   • grdcontrol-[версия grdcontrol]_amd64.deb – для ОС Astra Linux и deb-based дистрибутивов на x86_64;
   • grdcontrol-[версия grdcontrol]-0.x86_64.rpm – для ОС РЕД ОС, ОС Альт и rpm-based дистрибутивов на x86_64.
2. Откройте терминал.
3. Перейдите в каталог расположения установочного пакета.

4. Введите в терминале команду:

   Astra Linux and deb-based distributives

   sudo apt install ./[the name of the installation package grdcontrol].deb

   Alt Linux

   sudo apt-get install ./[the name of the installation package grdcontrol].rpm

   RED OS and rpm-based distributives

   sudo dnf install ./[the name of the installation package grdcontrol].rpm

5. При запросе введите пароль администратора.

Установка сервера лицензирования завершена.

Подробная информация о пакете grdcontrol представлена на официальном сайте https://dev.guardant.ru/display/GSLK/Guardant+Control+Center.

Удаление сервера лицензирования

Чтобы удалить сервер лицензирования, введите в терминале команду:

sudo apt-get remove grdcontrol

sudo dnf remove grdcontrol

Запуск Мастера лицензий Guardant

Мастер лицензий Guardant устанавливается автоматически при установке сервера лицензирования.

Файл запуска Мастера лицензий Guardant (license_wizard) располагается в каталоге /opt/guardant/grdcontrol.

Чтобы запустить Мастер лицензий Guardant:

1. Откройте терминал и введите в нем команду: 

   /opt/guardant/grdcontrol/license_wizard

   Подробная информация о Мастере лицензий Guardant представлена на официальном сайте https://dev.guardant.ru/pages/viewpage.action?pageId=85492642.

Активация лицензии

Чтобы активировать лицензию для rtlogon:

1. Запустите Мастер лицензий Guardant на сервере лицензирования.
2. В открывшемся окне Мастер лицензий Guardant нажмите Настройки.
3. В разделе Настройки, в поле Адрес сервера лицензий, введите адрес https://getlicense.guardant.ru.
4. Установите переключатель Проверять обновления лицензий при запуске автоматически в активное положение.
5. Нажмите ←Назад.
6. Нажмите на кнопку +Активация лицензии.
7. В поле На каком компьютере вы хотите использовать лицензию? выберите На этом.
8. Если ПК, на котором выполняется активация лицензии, имеет соединение с сетью Интернет:
   1. В поле Серийный номер введите полученный серийный номер программного ключа Guardant DL.
   2. Нажмите Получить лицензию.
9. Если ПК, на котором выполняется активация лицензии, не имеет соединение с сетью Интернет:
   1. Нажмите на ссылку Оффлайн активация.
   2. Выберите вкладку Новая лицензия и нажмите Сохранить.
   3. Сохраните файл запроса.
   4. Нажмите Продолжить.
   5. Перенесите файл запроса на ПК, который имеет соединение с сетью Интернет.
   6. Запустите на том ПК Мастер лицензий Guardant.
   7. Повторите шаги 2-6.
   8. В поле На каком компьютере вы хотите использовать лицензию? выберите На другом.
   9. Нажмите Продолжить.
   10. Нажмите Выбрать файл и откройте перенесенный на этот ПК файл запроса.
   11. Введите в поле полученный серийный номер программного ключа Guardant DL.
   12. Нажмите Активировать новую лицензию.
   13. В поле Готово нажмите Сохранить.
   14. Сохраните файл лицензии и перенесите его на ПК, у которого нет соединения с сетью Интернет.
   15. Если Мастер лицензий Guardant был закрыт на этом ПК:
       1. Повторите шаги 1, 6, 7.
       2. Нажмите на ссылку Оффлайн активация.
       3. Нажмите Продолжить.
       4. Нажмите Продолжить, у меня есть лицензия.
       5. Нажмите Выбрать файл.
       6. Выберите файл лицензии и нажмите Открыть.
   16. Если Мастер лицензий Guardant не был закрыт на этом ПК:
       1. Нажмите Продолжить, у меня есть лицензия.
       2. Нажмите Выбрать файл.
       3. Выберите файл лицензии и нажмите Открыть.

Лицензия активирована.

Настройка ПК для работы c rtlogon

Для работы с rtlogon необходимо:

• настроить Network manager для ОС Astra Linux (опционально) – если требуется работа с сетью из экрана приветствия;
• ввести ПК в домен – для работы с доменной 2ФА;
• загрузить корневой сертификат или сертификаты цепочки доверия УЦ – для работы с доменной 2ФА.

Настройка Network manager для экрана приветствия ОС Astra Linux 

В ОС Astra Linux функциональность Network manager в экране приветствия по умолчанию недоступна.

Чтобы включить возможность управления сетевыми подключениями через экран приветствия:

1. Запустите Панель управления.
2. На вкладке Безопасность выберите Санкции PolicyKit-1.
   
   
   

3. В открывшемся окне Санкции PolicyKit-1 выберите org.freedesktop.

4. В раскрывшемся списке выберите NetworkManager, далее settings, далее Allow cоntrol of network connection.
   
   
   

5. При открытии окна Требуется аутентификация – Агент PolicyKit1 от KDE введите пароль УЗ. Нажмите Да.
   
   
   
6. В окне Санкции PolicyKit-1, в поле Удаленная сессия из выпадающего списка выберите Разрешить. Нажмите Сохранить.
   
   
   
7. При открытии окна Требуется аутентификация – Агент PolicyKit1 от KDE введите пароль УЗ. Нажмите Да.
8. Закройте все окна.

Ввод ПК в домен

Active Directory

ОС Astra Linux

Чтобы ввести ПК в домен:

1. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
2. Установите утилиту astra-ad-sssd-client для ввода ПК в домен.
3. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://wiki.astralinux.ru/pages/viewpage.action?pageId=27361515.

4. Установите поиск kerberos-имени и настроек домена через DNS. Для этого необходимо задать значение True следующим параметрам в разделе [libdefaults] файла /etc/krb5.conf:

   dns_lookup_realm = True
   dns_lookup_kdc = True

5. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_ad.sh для ОС Astra Linux из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС РЕД ОС

Чтобы ввести ПК в домен:

1. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
2. Установите утилиту join-to-domain для ввода ПК в домен.
3. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://redos.red-soft.ru/base/arm/arm-domen/arm-msad/prejoindomain/.
4. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_ad.sh для ОС РЕД ОС из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС Альт

Чтобы ввести ПК в домен:

1. Замените [hostname] на [current_hostname.domain].
2. Отключите плагин etcnet-alt для NetworkManager.
3. Перезапустите NetworkManager.
4. Подключитесь к новому сетевому соединению.
5. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
6. Установите утилиту task-auth-ad-sssd для ввода ПК в домен.
7. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://docs.altlinux.org/ru-RU/alt-education/10.0/html/alt-education/activedirectory-login--chapter.html.
8. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_ad.sh для ОС Альт из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

FreeIPA

ОС Astra Linux

Чтобы ввести ПК в домен:

1. Настройте разрешение имен. Для этого в файле /etc/hosts:
   1. Замените [127.0.1.1 hostname] на [IP-адрес_ПК hostname.domain]. При этом запись hostname.domain должна быть уникальной и отсутствовать в домене.
   2. Добавьте IP-адрес сервера FreeIPA.
2. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
3. Установите утилиту astra-freeipa-client для ввода ПК в домен.
4. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://wiki.astralinux.ru/pages/viewpage.action?pageId=60359750.
5. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_freeipa.sh для ОС Astra Linux из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС РЕД ОС

Чтобы ввести ПК в домен:

1. Замените [hostname] на [client_name.domain].
2. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
3. Установите утилиту ipa-client для ввода ПК в домен.
4. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://redos.red-soft.ru/base/redos-7_3/7_3-administation/7_3-domain-redos/7_3-installation-ipa/7_3-ipa-clients/.
5. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_freeipa.sh для ОС РЕД ОС из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС Альт

Чтобы ввести ПК в домен:

1. Замените [hostname] на [hostname.domain].
2. Отключите плагин etcnet-alt для NetworkManager.
3. Перезапустите NetworkManager.
4. Подключитесь к новому сетевому соединению.
5. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
6. Установите утилиту freeipa-client для ввода ПК в домен.
7. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://docs.altlinux.org/ru-RU/alt-kworkstation/10.1/html/alt-kworkstation/ch57.html.
8. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_freeipa.sh для ОС Альт из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ALDPro

ОС Astra Linux

Чтобы ввести ПК в домен:

1. Настройте разрешения имен. В файл /etc/hosts необходимо добавить IP-адрес КД ALDPro.
2. Добавьте репозитории ALDPro в каталог /etc/apt/sources.list.d/.
3. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
4. Установите утилиту aldpro-client для ввода ПК в домен.
5. Используя утилиту, введите ПК в домен.
6. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_ald_pro.sh для ОС Astra Linux из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

Samba DC 

ОС Astra Linux

Чтобы ввести ПК в домен:

1. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
2. Установите утилиту astra-ad-sssd-client для ввода ПК в домен.
3. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://wiki.astralinux.ru/pages/viewpage.action?pageId=27361515.
4. Включите поиск kerberos-имени домена через DNS.
5. Включите поиск kerberos-настроек домена через DNS.
6. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_samba.sh для ОС Astra Linux из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС РЕД ОС

Чтобы ввести ПК в домен:

1. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
2. Установите утилиту join-to-domain для ввода ПК в домен.
3. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://redos.red-soft.ru/base/arm/arm-domen/arm-msad/prejoindomain/.
4. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_samba.sh для ОС РЕД ОС из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

ОС Альт

Чтобы ввести ПК в домен:

1. Замените [hostname] на [current_hostname.domain].
2. Отключите плагин etcnet-alt для NetworkManager.
3. Перезапустите NetworkManager.
4. Подключитесь к новому сетевому соединению.
5. Добавьте в настройки сетевого подключения IP-адрес DNS-сервера предприятия.
6. Установите утилиту task-auth-ad-sssd для ввода ПК в домен.
7. Используя утилиту, введите ПК в домен.
   Подробная инструкция по вводу ПК в домен представлена на официальном сайте https://docs.altlinux.org/ru-RU/alt-education/10.0/html/alt-education/activedirectory-login--chapter.html.
8. Перезагрузите ПК.

Для удобства ввода ПК в домен можно использовать скрипт configure_samba.sh для ОС Альт из комплекта поставки, заменив в нем значения параметров на требуемые.

После ввода ПК в домен скрипт нужно удалить, т.к. он содержит данные УЗ.

Проверка ввода ПК в домен

Чтобы проверить, введен ли ПК в домен:

1. Откройте файл /etc/sssd/sssd.conf.
2. Убедитесь, что в секции [sssd] параметру domains присвоено значение.

Пример.

[sssd]
domains = some.domain

Загрузка корневого сертификата или сертификатов цепочки доверия УЦ на ПК

Если сертификат является промежуточным в цепочке доверия УЦ, то файл сертификата УЦ на ПК должен содержать все промежуточные сертификаты до корневого.

Составить файл со всеми доверенными сертификатами можно 2-мя способами.

1 способ.

Записать все сертификаты в один файл с помощью команды cat:

cat cert1.pem cert2.pem cert3.pem >> ca_certs.pem

2 способ.

Загрузить сертификаты в контейнер в формате p7b.

FreeIPA и ALDPro

Корневой сертификат

Корневой сертификат автоматически загружается на ПК в процессе ввода ПК в домен. Дополнительных действий выполнять не требуется.

Сертификаты цепочки доверия УЦ

Для загрузки сертификатов цепочки доверия УЦ на ПК:

1. Введите команду:

   ipa ca-find

   В терминале появится список с названием всех сертификатов.

2. Введите команду:

   ipa ca-show "$CA_NAME" --chain --certificate-out chain.pem

   На ПК будут загружены все сертификаты цепочки доверия УЦ.

3. Запишите все сертификаты в один файл с помощью команды cat или используйте контейнер p7b.

Active Directory

Для загрузки корневого сертификата или сертификатов цепочки доверия УЦ на ПК:

1. Зайдите на веб-интерфейс УЦ КД. Адрес по умолчанию https://[domain]/certsrv.
2. Выберите Загрузка сертификата ЦС, цепочки сертификатов или CRL.
   
   
   
3. В поле Метод шифрования выберите Base 64.
4. Выберите Загрузка сертификата ЦС или Загрузка цепочки сертификатов ЦС. Загрузка на ПК начнется автоматически. 
   Цепочка сертификатов загружается в виде файла – контейнера формата p7b.
   

Если присутствует необходимость извлечь сертификаты из контейнера, можно воспользоваться утилитой openssl.

Samba DC

КД Samba DC не имеет встроенного УЦ. 

Схема загрузки корневого сертификата или сертификатов цепочки доверия УЦ на ПК пользователя зависит от выбранных администратором УЦ и выполненных на них настроек.

Установка rtlogon

Чтобы установить rtlogon:

1. Скопируйте с поставочного диска или скачайте с официального сайта Компании "Актив" установочный пакет rtlogon для необходимой платформы ПК и ОС:
   • rutokenlogon-[версия rtlogon]-astra1_arm64.deb – для ОС Astra Linux на ARM64;
   • rutokenlogon_[версия rtlogon]-astra1_amd64.deb – для ОС Astra Linux на x86_64;
   • rutokenlogon-[версия rtlogon]-alt1.aarch64.rpm – для ОС Альт на ARM64;
   • rutokenlogon-[версия rtlogon]-alt1.x86_64.rpm – для ОС Альт на x86_64;
   • rutokenlogon-[версия rtlogon]-1.aarch64.rpm – для ОС РЕД ОС и rpm-based дистрибутивов на ARM64;
   • rutokenlogon-[версия rtlogon]-1.x86_64.rpm – для ОС РЕД ОС и rpm-based дистрибутивов на x86_64;
   • rutokenlogon_[версия rtlogon]-1_arm64.deb – для deb-based дистрибутивов на ARM64; 
   • rutokenlogon_[версия rtlogon]-1_amd64.deb – для deb-based дистрибутивов на x86_64.
2. Откройте терминал.
3. Перейдите в каталог расположения установочного пакета.

4. Введите в терминале команду:

   Astra Linux and deb-based distributives

   sudo apt install ./[the name of the installation package rtlogon].deb

   Alt Linux

   sudo apt-get install ./[the name of the installation package rtlogon].rpm

   RED OS and rpm-based distributives

   sudo dnf install ./[the name of the installation package rtlogon].rpm

5. При запросе введите пароль администратора.
6. При запросе подтвердите продолжение установки.
7. Дождитесь окончания установки.

8. Введите в терминале команду:

   rtlogon-cli --version

9. Проверьте наличие в терминале сообщения с номером установленной версии rtlogon.
   

Установка rtlogon завершена.

Установка библиотеки libjcPKCS11-2.so

Для работы rtlogon с устройствами JaCarta необходимо скачать и установить библиотеку libjcPKCS11-2.so:

1. Зайдите на сайт https://www.aladdin-rd.ru/support/downloads/jacarta/.

2. На странице в разделе Linux Дистрибутивы выберите ПК "Единый Клиент JaCarta 3.3" для соответствующей ОС.

   
   
   

3. На открывшейся странице нажмите кнопку Скачать.
4. Распакуйте скачанный архив.
5. Откройте терминал.
6. Перейдите в терминале в каталог распакованного архива. 

7. Введите команду: 

   Astra Linux and deb-based distributives

   sudo apt install ./jcpkcs11-2[*].deb

   Alt Linux

   sudo apt-get install ./jcpkcs11-2[*].rpm

   RED OS and rpm-based distributives

   sudo dnf install ./jcpkcs11-2[*].rpm

8. Переместите библиотеку libjcPKCS11-2.so из каталога /usr/lib64 в каталог /opt/aktivco/rtlogon/pkcs:

   sudo cp /usr/lib64/libjcPKCS11-2.so /opt/aktivco/rtlogon/pkcs/

   Установка библиотеки завершена.

Команды и общие параметры rtlogon

configure

reconfigure

unconfigure

setup-auth

unsetup-auth

create-cert

change-pin

collect-log

info

-h

или

--help

--version

Обновление rtlogon

Для обновления rtlogon необходимо установить новый пакет. Старый пакет при этом удалять не требуется.

Удаление rtlogon

Для удаления rtlogon:

1. Введите команду:

   Astra Linux and deb-based distributives

   sudo apt remove rutokenlogon

   Alt Linux

   sudo apt-get remove rutokenlogon

   RED OS and rpm-based distributives

   sudo dnf remove rutokenlogon

2. При запросе введите пароль администратора.

Удаление rtlogon с ПК завершено.

Настройка ОС для работы с 2ФА

При настройке ОС выполняются следующие операции:

• настройка сервисa rtlogon_event-monitor;
• изменение конфигурации PAM-модулей ОС для внедрения pam_rtlogon.so;
• внедрение плагина для экрана приветствия и экрана блокировки (для ОС Astra Linux и дистрибутивов, поддерживающих экранный менеджер LightDM);
• конфигурирование pam_sssd (для доменной аутентификации).

Перед настройкой ОС для работы с 2ФА должен быть:

• установлен в сети или на ПК пользователя сервер лицензирования;
• на сервере лицензирования активирована лицензия rtlogon.

Для настройки ОС введите в терминале команду:

rtlogon-cli configure [command parameters]

Command parameters

--domain arg

--local

--license-server arg

--ca-cert arg

--use-system-gui arg

При выборе системных экранов приветствия и блокировки в настройках ОС для работы с 2ФА возможно появление следующих ограничений на экранах:

• недоступна разблокировка PIN-кода Пользователя;
• недоступен просмотр списка пользователей на токене, под которыми можно войти в систему;
• недоступны настройки сети;
• некорректный вывод запроса на предоставление PIN-кода для аутентификации – система запрашивает PIN-код, а на экран выводится сообщение с запросом пароля.

Поэтому при настройке необходимо указывать использование экранов приветствия и блокировки rtlogon для всех ОС, кроме Astra Linux SE 1.8.1. Эта ОС работает только с системными экранами приветствия и блокировки.

Пример.

sudo rtlogon-cli configure --local --license-server 127.0.0.1 --use-system-gui yes                 
//OS setup for local 2FA; using system Greeter and Lock Screen 
sudo rtlogon-cli configure --domain ad --license-server TEST-PC --ca-cert сert.pem   
//OS setup for domain certificate 2FA

Реконфигурация ОС для работы с 2ФА

Для реконфигурации ОС введите в терминале команду:

sudo rtlogon-cli reconfigure [command parameters]

Command parameters

--domain arg

--local

--license-server

--ca-cert arg

--use-system-gui arg

Если команда вызывается без параметров, то для настройки ОС будут использоваться значения, указанные в конфигурационном файле /etc/rtlogon/rtlogon.conf.

Реконфигурацию ОС без указания параметров рекомендуется использовать в следующих случаях:

• после выхода из строя ОС;
• после обновления ОС (для Astra Linux).

Отключение настроек ОС для работы с 2ФА

Чтобы отключить настройки ОС для работы с 2ФА, введите в терминале команду:

sudo rtlogon-cli unconfigure

Если конфигурационный файл /etc/rtlogon/rtlogon.conf не повреждён, то в результате выполнения этой команды вернутся в исходное состояние:

• конфигурация PAM-модулей системы и pam_sssd;
• плагин для системных экранов приветствия и блокировки.

Проверка сертификатов пользователей на статус "отозванный"

rtlogon поддерживает функцию проверки сертификатов пользователей на статус "отозванный".

Проверка может выполняться с помощью CRL или OCSP.

CRL

Чтобы включить проверку сертификатов с помощью CRL:

1. Загрузите на ПК CRL-файл(ы).
2. Проверьте, что на ПК загружен корневой сертификат УЦ и сертификаты промежуточных УЦ цепочки доверия.
3. Откройте файл /etc/sssd/sssd.conf.

4. В секции [sssd], в параметр certificate_verification добавьте опцию crl_file и задайте для нее путь к CRL-файлу.

   Поддерживается только pem-формат CRL-файла.

5. Для игнорирования проверки в случае истечения срока действия CRL-файла добавьте в параметр certificate_verification опцию soft_crl.

   Опцию игнорирования ошибок в цепочке доверия partial_chain не рекомендуется включать при работе в домене в связи с его некорректной работой с kerberos.

6. Сохраните изменения в файле.
7. Выполните команду rtlogon-cli reconfigure без параметров.

Если опция crl_file отсутствует, проверка сертификата пользователя на статус "отозванный" не выполняется.

Пример.

[sssd]
certificate_verification = soft_crl, сrl_file = /PATH/TO/CRL/FILE, ...

OCSP

Включить проверку сертификата на статус "отозванный" с помощью OCSP можно 2-мя способами.

1 способ.

URL-адрес сервера OCSP задан в сертификате пользователя, корневом сертификате или сертификате промежуточного УЦ.

2 способ.

1. Откройте файл /etc/sssd/sssd.conf.

2. В секции [sssd], в параметр certificate_verification добавьте опцию ocsp_default_responder и задайте для нее URL-адрес сервера OCSP.

3. Для игнорирования проверки при недоступности сервера OCSP добавьте в параметр certificate_verification опцию soft_ocsp.
4. Для отключения проверки сертификата добавьте в параметр certificate_verification опцию no_ocsp.
5. Сохраните изменения в файле.
6. Выполните команду rtlogon-cli reconfigure без параметров.

Пример.

/// enabling verification via the sssd.conf and ignoring verification
[sssd]
certificate_verification = soft_ocsp, ocsp_default_responder = /OCSP/SERVER/ADDRESS, ...

/// disabling verification
[sssd]
certificate_verification = no_oscp

/// ignoring verification. The OCSP server URL is specified in the certificate
[sssd]
certificate_verification = soft_ocsp

Настройка 2ФА

Для настройки 2ФА:

1. Подключите токен к компьютеру.
2. Для настройки доменной 2ФА по сертификату:
   1. Создайте запрос на получение сертификата.
   2. Получите сертификат УЗ от УЦ.
3. Для настройки локальной 2ФА по сертификату – сгенерируйте самоподписанный сертификат.
   
4. Введите в терминале команду:

sudo rtlogon-cli setup-auth [command parameters]

Command parameters

-l arg

или

--login arg

-d arg

или

--domain arg

--disconnect-policy arg

--token-id arg
или
-t arg

-p arg

или

--pin arg

--passwd

-e arg

или

--expire-days arg

--domain-admin arg

-c arg

или

--cert arg

--login-policy arg

Пример:

sudo rtlogon-cli setup-auth --login user2 --cert cert.pem --disconnect-policy lock --login-policy certonly  
// Login is only by certificate 2FA; OS policy when token and PC are disconnected is block session
sudo rtlogon-cli setup-auth -l user -c cert.pem --disconnect-policy none --login-policy certandpass         
// Login is by account login/password or certificate 2FA

sudo rtlogon-cli setup-auth --login user2 --passwd --disconnect-policy none

rtlogon-cli setup-auth -c cert.pem --domain "$DOMAIN" --login "$DOMAIN_USER"

rtlogon-cli setup-auth --domain "$DOMAIN" --login "$DOMAIN_USER" --passwd -p 12341234
// enter domain admin login and password
rtlogon-cli setup-auth --domain "$DOMAIN" --login "$DOMAIN_USER" --passwd -p 12341234 
--domain-admin "$DOMAIN_ADMIN"
// enter domain admin password

Проверка настройки 2ФА

Для проверки настроек 2ФА:

1. Завершите текущую сессию.
2. Убедитесь, что ключевой носитель подключен к ПК. В противном случае подключите ключевой носитель к ПК.
3. На экране приветствия rtlogon:
   1. Выберите в списке устройств необходимый ключевой носитель.
   2. В раскрывающемся списке Логин выберите логин необходимой УЗ.
   3. Введите PIN-код в поле PIN-код.
   4. Нажмите Продолжить.
      
4. На системном экране приветствия:
   1. Введите логин УЗ.
   2. Введите PIN-код.

Если 2ФА была настроена корректно, будет выполнен успешный вход в систему.

Изменение настроек 2ФА

Для изменения настроек 2ФА необходимо снова вызвать команду rtlogon-cli setup-auth с указанием нужным параметров.

Удаление 2ФА

Для удаления 2ФА:

1. Если требуется удалить 2ФА для УЗ только с токена или с токена и ПК – подключите токен к ПК. В противном случае данный пункт пропустить.

2. Введите в терминале команду:

   sudo rtlogon-cli unsetup-auth [command parameters]

3. Введите PIN-код токена (если 2ФА удаляется с него).
4. При запросе дважды введите новый пароль для УЗ (если для 2ФА использовался сложный пароль).

Command parameters 

-l arg
или
--login arg

-d arg

или

--domain arg

--host-id arg

--token-id arg
или
-t arg

-p arg

или

--pin arg

--ignore-token

--keep-cert-and-key

--only-on-token

--domain-admin arg

Пример:

sudo rtlogon-cli unsetup-auth -l "$LOCAL_USER" --pin <PIN-code>

rtlogon-cli unsetup-auth -l "$DOMAIN_CERT_USER" -d "$DOMAIN" --pin <PIN-code>
rtlogon-cli unsetup-auth -l "$DOMAIN_PASSWD_USER" -d "$DOMAIN" --pin <PIN-code>
// enter domain admin login and password
rtlogon-cli unsetup-auth -l "$DOMAIN_PASSWD_USER" -d "$DOMAIN" --pin <PIN-code> 
--domain-admin "$DOMAIN_ADMIN"
// enter domain admin password 

rtlogon-cli unsetup-auth -l "$LOCAL_USER" --host-id "$HOST_ID" --pin <PIN-code>

rtlogon-cli unsetup-auth -l "$DOMAIN_USER" -d "$DOMAIN" --keep-cert-and-key --pin <PIN-code>

Кеширование УЗ

В rtlogon для sssd по умолчанию включена функция кеширования УЗ с настроенной доменной 2ФА (по сертификату или сложному паролю).

Кеширование доменных УЗ позволяет пользователям аутентифицироваться в свою УЗ даже при отсутствии соединения с КД.

Кеширование задается следующими параметрами:

[sssd]
certificate_verification = soft_ocsp, soft_crl, ...

# вместо <domain_name> указывается имя домена
[domain/<domain_name>]      
cache_credentials = True
krb5_store_password_if_offline = True

Чтобы отключить кеширование УЗ, введите в терминале следующие команды:

mkdir -p /etc/sssd/conf.d/
cat >> /etc/sssd/conf.d/60-disable_offile_auth.conf <<EOF
[sssd]
certificate_verification =
# вместо <domain_name> указывается имя домена
[domain/<domain_name>]      
cache_credentials = False
krb5_store_password_if_offline = False
EOF

chown root:root /etc/sssd/conf.d/60-disable_offile_auth.conf
chmod 600 /etc/sssd/conf.d/60-disable_offile_auth.conf

systemctl restart sssd

Создание запроса на получение сертификата, генерация самоподписанного сертификата

Чтобы создать запрос на получение сертификата или сгенерировать самоподписанный сертификат:

1. Подключите токен к ПК.
2. Введите в терминале команду:

rtlogon-cli create-cert [certificate parameters] [token parameters] [certificate content]

Command parameters

-a arg

или

--alg arg

-s 

или

--self-signed

-o arg

или

--output arg

-t arg
или
--token-id arg

-p arg

или

--pin arg

--dn CN arg

--dn C arg

--dn ST arg

--dn STREET arg

--dn L arg

--dn O arg

--days arg

Пример:

rtlogon-cli create-cert -s -o cert.pem -p 12345678 --dn CN Petrova --dn C BB --dn ST Lilovaja --dn L Saratov --dn O Pulse --days 365

rtlogon-cli create-cert -a gost256 -o cert.pem -p 12345678 --dn CN Petrova --dn C BB

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Получение сертификата УЗ от УЦ

FreeIPA и ALDPro

После создания запроса на получение сертификата введите в терминале следующие команды:

kinit [admin login]

ipa cert-request [the path to the certificate request file] --principal [domain account login for which certificate is being issued] --ca [certification center type] --profile-id [certification center ID profile] --certificate-out [certificate name]

kdestroy

При запросе введите пароль администратора.

Пример.

kinit admin

ipa cert-request ./cert.req --principal user3 --ca ipa --profile-id caIPAserviceCert --certificate-out cert.pem

kdestroy

Active Directory

После создания запроса на получение сертификата:

1. Зайдите на веб-интерфейс УЦ КД. По умолчанию адрес имеет следующий вид: 
   https://[domain]/certsrv.
2. Авторизуйтесь под УЗ, для которой запрашивается сертификат.
   
   
   
3. Выберите задачу Request a certificate.
   
   
   
4. Выберите пункт advanced certificate request.
   
   
   
5. Вставьте в поле Saved Request содержимое файла запроса сертификата (включая надписи BEGIN CERTIFICATE, END CERTIFICATE).
6. Выберите в качестве шаблона User.
7. Нажмите Submit.
   

8. В поле Certificate Issued выберите Base 64 encoded  и нажмите Download certificate. Загрузка сертификата УЗ на ПК начнется автоматически.

Samba DC

После создания запроса на на получение сертификата:

1. Отправьте запрос на УЦ.
   Форма и способ отправки запроса зависят от выбранного и настроенного администратором УЦ.
2. Подпишите запрос на стороне УЦ.
   Способ подписания зависит от заданных администратором настроек УЦ.
3. Скопируйте подписанный сертификат УЗ на ПК.

Смена PIN-кода токена

rtlogon поддерживает возможность смены PIN-кода токена, заданного по умолчанию.

Сменить PIN-код можно при первичном входе в ОС, или его может сменить администратор.

Для смены PIN-кода администратором:

1. Подключите токен к ПК.

2. Введите в терминале команду:

   rtlogon-cli change-pin [token parameters]

3. Введите текущий PIN-код токена.
4. Введите дважды новый PIN-код токена.

Token parameters

--token-id arg
или
-t arg

Пример:

rtlogon-cli change-pin
Enter token (3f2a50b2) PIN-code: 
Enter new PIN-code:
Repeat new PIN-code:
PIN-code changed succesfully

rtlogon-cli change-pin --token-id 3f2a50b2
Enter token (3f2a50b2) PIN-code:
Enter new PIN-code:
Repeat new PIN-code:
PIN-code changed succesfully

Разблокировка PIN-кода на экране приветствия или блокировки

rtlogon поддерживает разблокировку PIN-кода токена на экране приветствия только при использовании GUI rtlogon.

Чтобы выполнить разблокировку:

1. Введите PIN-код Администратора токена в поле PIN-код Администратора.
2. Нажмите Продолжить.
   
   
   

3. Введите новый PIN-код в поле Новый PIN-код.

   Администратор может ввести для токена PIN-код по умолчанию (например, для Рутокена – 12345678). В этом случае при последующем входе в систему rtlogon попросит пользователя сменить PIN-код по умолчанию на другой.

4. Продублируйте новый PIN-код в поле Повторите новый PIN-код.
5. Нажмите Разблокировать.
   
   
   
6. Получите на экране сообщение о том, что PIN-код разблокирован.
   
   
   
7. Повторите вход в систему с новым PIN-кодом.

Запрос информации о конфигурации rtlogon и параметрах локальной 2ФА

rtlogon поддерживает вывод в терминале данных о своей конфигурации и о настроенной 2ФА.

Для получения данных:

1. Подключите токен к ПК (если необходимо вывести данные о 2ФА, хранящиеся на токене).
2. Введите в терминале команду:

rtlogon-cli info [command parameter]

Command parameter

-v 

или

--verbose

Выводимые данные делятся на:

• стандартный набор;
• расширенный набор.

Стандартный набор данных содержит:

• информацию о библиотеке:
  • pkcs11 Rutoken (librtpkcs11ecp);
  • pkcs11 JaCarta (libjcPKCS11-2).
• идентификатор ПК;
• список локальных 2ФА, настроенных на ПК, содержащий:
  • логин УЗ;
  • идентификатор (серийный номер) токена;
  • идентификатор секрета (сложного пароля или сертификата) на токене;
  • тип настроенной локальной 2ФА – 2ФА по сертификату или 2ФА по сложному паролю;
  • политику входа в ОС для локальной 2ФА по сертификату.
• список подключенных к ПК токенов, содержащий:
  • логин УЗ;
  • идентификатор ПК – для настроенной локальной 2ФА или имя домена – для настроенной доменной 2ФА;
  • тип секрета, используемого для 2ФА;
  • политику ОС при отключении токена от ПК.

Расширенный набор данных содержит:

• стандартный набор;
• тип используемого КД – для доменной конфигурации ОС;
• тип используемых экранов приветствия и блокировки (системные или rtlogon);
• данные по сертификатам пользователя:
  • идентификатор сертификата на токене;
  • период действия сертификата;
  • метка сертификата;
  • Distinguished name (DN) субъекта;
  • УЦ, выдавший сертификат;
  • содержимое сертификата.
• информацию о корневом сертификате и сертификатах промежуточных УЦ, составляющих цепочку доверия:
  • УЦ, выдавший сертификат;
  • содержимое сертификата;
  • период действия сертификата;
  • Distinguished name (DN) субъекта.
• метка сложного пароля – для 2ФА по сложному паролю.

Пример:

//Standard information
rtlogon-cli info

PKCS#11 libraries info:
    Rutoken pkcs11 library:
        Cryptoki interface version: 2.40
        Cryptoki library version: 2.14
        Manufacturer: Aktiv Co.
        Library description: Rutoken ECP PKCS #11 library

    JaCarta pkcs11 library:
        Not found (valid library must be version no lower than 2.8).

Rtlogon configuration:
    Host id: 479-485-859-343

Local users with configured rtlogon 2FA:
    Not found

Tokens info:
    Token #0 (id: 0986078429)
        Record #0
            User: kek
            Host id: 992-600-966-077
            Auth type: strong password
            Disconnection type: lock

        Record #1
            User: kek
            Domain: rtkn.test
            Auth type: certificate
            Disconnection type: lock

//Extended information
rtlogon-cli info -v

PKCS#11 libraries info:
    Rutoken pkcs11 library:
        Cryptoki interface version: 2.40
        Cryptoki library version: 2.14
        Manufacturer: Aktiv Co.
        Library description: Rutoken ECP PKCS #11 library

    JaCarta pkcs11 library:
        Not found (valid library must be version no lower than 2.8).

Rtlogon configuration:
    Host id: 479-485-859-343
    System gui: false
    Domain type: ipa
    CA certificates chain:
    Certificate #0
    Validity starts: 2023-09-07 12:13:53
    Validity ends: 2043-09-07 12:13:53
    Subject: O=RTKN.TEST CN=Certificate Authority
    Issuer: O=RTKN.TEST CN=Certificate Authority
    Cert body:
    -----BEGIN CERTIFICATE-----
    MIIEhTCCAu2gAwIBAgIBATANBgkqhkiG9w0BAQsFADA0MRIwEAYDVQQKDAlSVEtO
    LlRFU1QxHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTAeFw0yMzA5MDcw
    OTEzNTNaFw00MzA5MDcwOTEzNTNaMDQxEjAQBgNVBAoMCVJUS04uVEVTVDEeMBwG
    A1UEAwwVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MIIBojANBgkqhkiG9w0BAQEFAAOC
    AY8AMIIBigKCAYEAx8X2h3WrNd7bNmh1wMv52gVapipzdtcU/TNs+YzlB1hsj4Qd
    XDG+//DYqNT8vIi5FzyWHPDiH7ciXJIP75dWFXkaftVjcoiPUy0ipAGjfoKnNvaD
    pPCm9dCB05V09iDxKyS+G35wm66lG8PZ5PDySi14/8g6+vHQM/whAa9nfLpimJf+
    Sw6XZUJGIXyRN6fAO70Uybj/N28YYJds4q3hJjQdR/LFQrPUswoRpv/XPI8U6l+N
    eV6gVuhjy5ZlnIS1HwfIoCLZekVtEuXqtzmJdydeUWhDV/OMcAAK8nRi8GFbEJAA
    JTP8FO4uVEK2xHywjIAHofM+a8+nK37DuFKbM6fvptlrTQcurzW48+5lkWqzs2T9
    1knZNAlG/oTelNMiGyshoYAnZbN4hiwSjBwlhdTtN3k5xwD+XTTdBVUNwpb0s1Ka
    jHpdDAkUyltpGPWf1TOYn4ifyX8U/se6CHrZgjrl0bUb40YuHC/ZlW3d7rGvBR9K
    QeIIYM6BE4yZlA67AgMBAAGjgaEwgZ4wHwYDVR0jBBgwFoAUaiJEAvkud9Dfyq4K
    aRsWn4veWEgwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAcYwHQYDVR0O
    BBYEFGoiRAL5LnfQ38quCmkbFp+L3lhIMDsGCCsGAQUFBwEBBC8wLTArBggrBgEF
    BQcwAYYfaHR0cDovL2lwYS1jYS5ydGtuLnRlc3QvY2Evb2NzcDANBgkqhkiG9w0B
    AQsFAAOCAYEAiCLzFlR2RhPc8IUcYs+5J4afP40tCaDHeZdfZdtpE0lsibSU1sLK
    7QAdmePfxfZ2NX5b0WyL7p+K3gPFbM08dmFZoIBflz5m1Ew04p0z51w3ZvMtG/Ft
    X8/sewfo76BHMBFTZUw5BXbgPuzuoTCI7iV0RwskEcKzyukqdvYA0G/X70sRgVS+
    HkAcY+0PL3n0pfTmEu/j3xm3PpRT6QZPlF/vlJC26Kbf19iNHZxZyvVx1O6B9AYS
    6XqZiFKs9KahnHr7ooHv7mgmbBqwnG3wvB7l9UU3JaR6y1aiQ5y3RWD5No1rqoQr
    UnEkBuNmh8ZrTaD9eyD3CXyAaMhx6KwDliUTNrHG4UTmK33mN5sxmZ31DHQrIx7x
    H/7OmEF+KCggz8lP+GdQewW/ZlaLMu1Djje3afxNKyNJ6Kr89YK0guXZCuaXZRN/
    ZUtN7594FYFfUL2W28qbYGl9ftVSbbmAO88idSSBpsPmlPu0Iq58GKdmhwHZSYXs
    tizXwJnH4MHb
    -----END CERTIFICATE-----

Local users with configured rtlogon 2FA:
    Not found

Tokens info:
    Token #0 (id: 0986078429)
        Record #0
            User: kek
            Host id: 992-600-966-077
            Auth type: strong password
            Disconnection type: lock
            Object id: 2a2abd17e6335dcc

       Record #1
            User: kek
            Domain: rtkn.test
            Auth type: certificate
            Disconnection type: lock
            User's certificate:
            Label: e1c22ddcc13a0a70
            Object id: e1c22ddcc13a0a70
            Validity starts: 2025-07-01 15:47:47
            Validity ends: 2027-07-02 15:47:47
            Subject: O=RTKN.TEST CN=kek
            Issuer: O=RTKN.TEST CN=Certificate Authority
            Cert body:
            -----BEGIN CERTIFICATE-----
            MIIEezCCAuOgAwIBAgIDARmgMA0GCSqGSIb3DQEBCwUAMDQxEjAQBgNVBAoMCVJU
            S04uVEVTVDEeMBwGA1UEAwwVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTI1MDcw
            MTEyNDc0N1oXDTI3MDcwMjEyNDc0N1owIjESMBAGA1UECgwJUlRLTi5URVNUMQww
            CgYDVQQDDANrZWswggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDQkxZF
            OnaeuAaLOaOubxEMBzaqw+iAHG5Zw5wtIOcwG7rAscZmo4oVEkAhzbrRyzWkzHM7
            4dytlQLoD5gwnH/hoB9PPuoi/s01khvnGZC5eIMB3GG7NtVMxuPK0fPQ5A0wbAbJ
            HAwOYDyCn6j0KgcI1J+xOcZWNLjlEQcrcf5HVxeywu+758IzooJ8MMLVlckvc6xW
            9DqIoNF8Rf1OY4VybVqVvpIjNouQN15dJDxlrYzfPM9caILNrRInMZrSZzH+BZ6V
            ho2wD+02uGxqAQPILGZ0al39oLm8GtSoMnNqKQ4CRHIOmj8yY9NTNEAAVmIbFA5U
            s2SXFc067raOVrb/AgMBAAGjggEmMIIBIjAfBgNVHSMEGDAWgBRqIkQC+S530N/K
            rgppGxafi95YSDA7BggrBgEFBQcBAQQvMC0wKwYIKwYBBQUHMAGGH2h0dHA6Ly9p
            cGEtY2EucnRrbi50ZXN0L2NhL29jc3AwDgYDVR0PAQH/BAQDAgTwMB0GA1UdJQQW
            MBQGCCsGAQUFBwMBBggrBgEFBQcDAjB0BgNVHR8EbTBrMGmgMaAvhi1odHRwOi8v
            aXBhLWNhLnJ0a24udGVzdC9pcGEvY3JsL01hc3RlckNSTC5iaW6iNKQyMDAxDjAM
            BgNVBAoMBWlwYWNhMR4wHAYDVQQDDBVDZXJ0aWZpY2F0ZSBBdXRob3JpdHkwHQYD
            VR0OBBYEFMveJEKuO5IQRYWg00BP7ZQNbh27MA0GCSqGSIb3DQEBCwUAA4IBgQC0
            MTnhyu9E/010QvIMMm4sZn2Xx7LlbZjIj2XEoVUHYIBSYcdV5EfM4Ypzy3HFKnjO
            UfLJjLbyhBHA5gGODfJexjTuh/EZ00xMkyHkRYZbn2MLlFZWQsTnHM6r0fuhP6/t
            ZgBbgOXAQrQDb7ZJNZ39Q7nboFC6mc6rvTrFuSR56sZpTvkg57EQ02aMyZgTDZV2
            2cp9QhSyU6UblK4DTQo5MU4RJ3wo2/gins/m4wrRmUe2NuYZwBG6Ud6gWt6gnE5o
            LosVsXSfAlw7p8GphyelBH4UWIT+CkpCwk4nJElJCkk4hHaYFTZ1JL3QYuIhXFtR
            PD9a0rr8jD3re1lF4EN1nFijxEl+K3C9KwEoIQhj7JYDSbr3FjEa+kU98yLJO3zY
            3qjnvUnEM0pQoroq+5NgoWJu93bt2eN8DCFCrkZOjp2d/07EFTbv4NdoJy2FX21b
            4FkYFu4P31JlCdE4iyetgsF51qtSXHLtYlAa10V4EwgVuGcT2AGcp2E+fywlyGc=
            -----END CERTIFICATE-----

Логирование работы rtlogon

Записи о работе rtlogon сохраняются в лог-файл /var/log/rtlogon.log со следующими характеристиками:

• максимальный размер файла – 5 Мб;
• количество лог-файлов в директории хранения для обеспечения ротации – 5.

Ротацию лог-файлов обеспечивает внешняя утилита – logrotate.

Запись событий в лог-файл включена по умолчанию. Доступ к лог-файлу осуществляется по правам администратора. 

В лог-файл записываются данные о следующих событиях безопасности:

• успешная/неуспешная аутентификация пользователя;
• перегенерация сложного пароля;
• изменение PIN-кода по умолчанию.

Эти данные дополнительно записываются в syslog.

Экспорт конфигурационных файлов, лог-файлов и файла с параметрами локальной 2ФА

1. Введите в терминале команду:

   sudo rtlogon-cli collect-log [command parameter]

2. При запросе введите пароль администратора.

Command parameter

Выгруженный архив содержит следующие файлы:

• state_info.txt – со следующей информацией:
  • параметры конфигурации rtlogon;
  • данные об установленных библиотеках PKCS#11;
  • записи о настроенной локальной 2ФА;
  • записи о 2ФА, хранящиеся на токене;
  • сведения о подключенных к ПК токенах;
  • описание публичных объектов на токенах (объекты данных, сертификаты, публичные ключи);
  • сведения о корневом сертификате и промежуточных сертификатах УЦ, составляющих цепочку доверия.
• os_info.txt – файл с информацией о ядре ОС;
• installed_deb_packages.txt или installed_rpm_packages.txt – файл с информацией об установленном пакете;
• journalctl.log – системный журнал, содержащий записи за последние 30 дней;
• лог-файлы:
  • /var/log/audit/audit.log – журнал аудита системных событий;
  • /var/log/auth.log или /var/log/secure – лог-файл pam-модулей и pam-приложений;
  • /var/log/fly-dm.log – лог-файл модуля fly-dm (для ОС Astra Linux);
  • /var/log/rtlogon.log – лог-файл rtlogon;
  • /var/log/messages – системный лог-файл;
  • /var/log/syslog – системный лог-файл;
  • /var/log/lightdm – лог-файл LightDM (для ОС РЕД ОС, ОС Альт);
  • /var/log/sssd/ – лог-файлы служб SSSD.
• /etc/rtlogon/rtlogon.conf – конфигурационный файл rtlogon;
• /etc/pki – корневые сертификаты;
• конфигурационные файлы компонентов ПО:
  • /etc/X11/fly-dm/fly-dmrc/ – настройка экранного менеджера fly-dm;
  • /etc/pam.d/ – конфигурационные файлы PAM;
  • /etc/selinux/config – информация о конфигурации подсистемы SELinux;
  • /etc/sssd/ – конфигурационные файлы sssd;
  • /etc/krb5* – конфигурационные файлы Kerberos;
  • /etc/control/ – настройки подсистемы control – утилиты ОС Альт;
  • /etc/samba/ – настройка samba;
  • /etc/lightdm/ – настройка экранного менеджера LightDM;
  • /etc/*-release – информация о дистрибутиве ОС;
  • /usr/share/p11-kit/modules/ – информация о настройке модулей p11-kit;
  • /usr/share/fly-wm/theme.master/themerc – параметры конфигурации оконного менеджера fly-wm;
  • /usr/share/authselect/ – конфигурация authselect;
  • /usr/share/pam-configs/ – конфигурация pam-auth-update;
  • /usr/share/xsessions/ – описание X11 графических оболочек.
• CRL-файлы.

Приложение 1. Ошибки

Ошибки, выводимые в GUI

Ошибки, выводимые в терминале