Table of Contents | ||||
---|---|---|---|---|
|
Проверка работы Рутокен ЭЦП 2.0
Info |
---|
Подключите Рутокен ЭЦП 2.0 к компьютеру. |
Убедитесь в том, что на USB-токене или считывателе для смарт-карт светится индикатор.
Откройте Terminal.
Для проверки корректности работы Рутокен ЭЦП 2.0 введите команду:
Panel |
---|
$ pcsc_scan |
Если Рутокен ЭЦП 2.0 не работает, то в окне терминала отобразится сообщение об этом.
Если Рутокен ЭЦП 2.0 работает, то в окне терминала отобразится сообщение об этом.
Такое сообщение в системе ALT Linux выглядит следующим образом:
Для остановки сервиса pcscd введите команду:
Panel |
---|
$ sudo service pcscd stop |
Настройка системы
Перед началом работы, установите следующие пакеты:
Panel |
---|
sudo yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit |
Проверьте, что у вас установлен openssl версии 1.1 и выше
Скачайте pam модуль и положите его по адресу /usr/lib64/security (или /lib64/security для goslinux)
Установите права доступа:
Panel |
---|
sudo chmod 644 /usr/lib/x86_64-linux-gnu/librtpam.so.1.0.0 |
Загрузите модуль librtpkcs11ecp.so и установите:
Panel |
---|
sudo rpm -i librtpkcs11ecp_1.9.15.0-1_x86_64.rpm |
Проверяем, что все настроили правильно:
Panel |
---|
pkcs11-tool --module /usr/lib64//librtpkcs11ecp.so -T |
Далее потребуется скачать сертификат с токена, если его нету, то генерируем его согласно следующему пункту
Генерация сертификата и отправка его на токен
Собирайте OpenSC новее чем 0.19.0.
https://github.com/OpenSC/OpenSC/
Создаем ключи на токене
Panel |
---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-256:B -l --id 45 |
Узнайте где находится файл с конфигурацией и папка с энджинами openssl с помощью команды:
Panel |
---|
openssl version -a |
Скачайте rtengine, который можно найти в комплекте разработчика и поместите его в директорию энджинов
Зайдите в файл конфигурации openssl.cnf и впишите туда следующее:
Panel |
---|
# в начало файла написать |
Теперь создадим самоподписанный сертификат для наших ключей на токене:
Panel |
---|
openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=E" -engine rtengine -out cert.crt |
Загружаем его на токен:
Panel |
---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
Регистрируем сертификат в системе
Скачиваем сертификат с токена (если вы пользовались вышеописанной инструкцией для получения сертификата, то ID = 45)
Panel |
---|
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt |
Конвертируем его в PEM формат
Panel |
---|
openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM |
Добавляем сертификат в список доверенных сертификатов для данного пользователя
Panel |
---|
mkdir ~/.eid chmod 0755 ~/.eid cat cert.pem >> ~/.eid/authorized_certificates chmod 0644 ~/.eid/authorized_certificates |
Настраиваем аутентификацию
Открываем файл /etc/pam.d/system-auth
Panel |
---|
sudo vim /etc/pam.d/system-auth |
И записываем в самом начале следующую строчку
Panel |
---|
auth sufficient librtpam.so.1.0.0 /usr/lib64/librtpkcs11ecp.so |
Пробуем пройти аутентификацию
Panel |
---|
su oleg |
Если все прошло успешно, то появится просьба ввести пароль от токена, иначе что-то пошло не так. Узнать причину того, что пошло не так, можно через логи в /var/log/messages
Добавление возможности использования смарт-карт и токенов для входа в систему
В Goslinux
Для того, чтобы добавить возможность входа в систему с помощью смарт-карт, нужно
1. Зайти в панель настройки аутентификации
2. Включить поддержку смарт-карт
3. Попробовать войти
В CentOS 7
Пока удалось настроить только для оболочки KDE. Чтобы активировать введите в терминале
Panel |
---|
autoconfig --enablesmartcard |
Теперь при входе в систему вы можете ввести пароль от токена если он вставлен и аутентификация пройдет успешно