...
В результате в окне Терминала отобразится название модели USB-токена:
Убедитесь, что используете: Aktiv Rutoken ECP
...
Подключаем токен или смарт-карту к компьютеру. Запускаем dmesg Запускаем dmesg и убедимся в том, что устройство опредилось определилось корректно.
Для 32-битной версии используйте команду:
|
Для 64-битной версии используйте команду:
|
4 Создаем ключевую пару
Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации.
...
Для 32-битной версии используйте команду:
|
Для 64-битной версии используйте команду:
|
Утилита pkcs11-tool
входит в состав opensc
.
...
|
Создаем сертификат в PEM-формате. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.
|
Здесь:
-key | указывает закрытый ключ (в нашем случае 0:45 – слот:ID ключа) |
| выдает самоподписанный сертификат |
...
|
Здесь:
-y <arg> | тип объекта (может быть cert, privkey, pubkey, data) |
| записать объект на токен |
...
|
...
9 Включаем аутентификацию по внешнему носителю
Потребуются права суперпользователя:
|
10 Включаем аутентификацию по внешнему носителю
|
на вопрос об удалении ссылки следует ответить "y"
...
10 Редактируем конфигурацию аутентификации в системе
Отредактируем первую строку файла конфигурации /etc/pam.d/system-auth.
...
|
...
11 Редактируем конфигурацию pam_pkcs11
Отредактируем файл /etc/security/pam_pkcs11/pam_pkcs11.conf
...
mapper_search_path = /lib/pam_pkcs11; на строку mapper_search_path = /lib64/pam_pkcs11;
...
12 Добавляем связку сертификата на токене с пользователем системы ALT Linux.
Добавляем сертификат в список доверенных сертификатов
|
...
13 Проверяем выполненные настройки
Проверьте, что настройка была выполнена верно, используя команду login. Не завершайте свою сессию, пока не убедитесь в том, что все работает корректно.
Если команда login выполняется успешно, то вы можете завершать свою сессию и использовать аутентификацию по токенам и смарт-картам Rutoken.
В случае возникновения ошибок еще раз проверьте все настройки. Для выявления проблемы вы так же можете включить вывод дополнительной информации при аутентификации.
...
Не забудьте отключить вывод дополнительной инфомации информации после настройки системы.
...
14 Настройка завершена!
На этом настройка закончена. После перезапуска ОС окно входа в систему будет выглядеть так:
...
15 Другие пользователи
При необходимости добавить вход по токену для других пользователей следует:
...
В обоих случаях в файле subject_mapping должно оказаться две (или несколько) записей.