Портал документации Рутокен

Page tree

Versions Compared

Old Version 8

changes.mady.by.user Кийко Алексей

Saved on

compared with

New Version Current

changes.mady.by.user Кийко Алексей

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

sudo dnf update
sudo dnf install ccid opensc pcsc-tools p11-kit nss-tools python3-tkinter rpmdevtools libsss_sudo krb5-pkinit dialog openssl fedora-packager rpmdevtools gcc vim-common openssl-pkcs11 docbook-style-xsl openldap-devel openssl-devel pam-devel pcsc-lite-devel pkgconf automake autoconf git libtool

Загрузите модуль librtpkcs11ecp.so и установите:

sudo rpm -i librtpkcs11ecp-2X.6X.1X.0X-1X.x86_64.rpm

Установка pam_pkcs11

Скачайте pam_pkcs11-X.Y.Z.tar.gz.

Далее, распакуйте архив и перейдите в распакованную папку.

Для этого необходимо выполнить следующие действия:

tar xvzf pam_pkcs11-X.Y.Z.tar.gzgit clone https://github.com/OpenSC/pam_pkcs11.git
cd pam_pkcs11-X.Y.Z

...


autoreconf -i
./configure --prefix=/usr/ && make && sudo make install

Для конфигурации pam_pkcs11 перенесите из разархивированной папки и папки etc файл создайте папки /etc/pam_pkcs11.conf.example в папку /crls и /etc/pam_pkcs11/cacerts

sudo mkdir /etc/pam_pkcs11

...


...

sudo mkdir /etc/pam_pkcs11/crls

...


sudo mkdir /

...

etc/pam_pkcs11/cacerts

...


После установки необходимых пакетов, вы можете воспользоваться графической утилитой для работы с Рутокенами в Linux для упрощённой настройки.

Создание ключей и сертификатов

...

Параметр id задает идентификатор ключевой пары.

Убедиться, в наличии файла pam_pkcs11.so в папке  /usr/lib64/security/pam_pkcs11.so

Если pam_pkcs11.so находится в /usr/lib/local/security/pam_pkcs11.so, необходимо его перенести.

...

sudo mv /usr/local/lib/security/pam_pkcs11.so /usr/lib64/security/


Создание сертификата и импорт его на токен через OpenSSL 3.x:

...

openssl_conf = openssl_init
 
[openssl_init]
engines = engine_section
 
[engine_section]
pkcs11 = pkcs11_section
 
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib64/engines-3/pkcs11.so
MODULE_PATH = /usr/lib64/librtpkcs11ecp.so
default_algorithms = ALL

...

При необходимости использовать pkcs11 engine указывать путь к файлу конфигурации engine.conf, например:

$ OPENSSL_CONF=/path/to/engine.conf openssl req -engine pkcs11 -x509 -new -key 0:45 -keyform engine -out cert.crt -subj "/CN=test/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/emailAddress=testuser@mail.com"

...

Настройка pam_pkcs11

Создайте (например, на рабочем столе) текстовый файл /etc/pam_pkcs11/pam_pkcs11.conf со следующим содержимым:

pam_pkcs11 {
  nullok = false;
  debug = false;
  use_first_pass = false;
  use_authtok = false;
  card_only = false;
  wait_for_card = false;
  use_pkcs11_module = rutokenecp;
 
  # Aktiv Rutoken ECP
  pkcs11_module rutokenecp {
    module = /usr/lib64/librtpkcs11ecp.so;
    slot_num = 0;
    support_thread = true;
    ca_dir = /etc/pam_pkcs11/cacerts;
    crl_dir = /etc/pam_pkcs11/crls;
    cert_policy = signature;
  }
 
  use_mappers = digest;
 
  mapper_search_path = /usr/lib64/pam_pkcs11;
 
  mapper digest {
   debug = false;
   module = internal;
   algorithm = "sha1";
   mapfile = file:///etc/pam_pkcs11/digest_mapping;
  }
 
}

...

cd /etc/pam_pkcs11/
 
sudo mv pam_pkcs11.conf pam_pkcs11.conf.default #резервное копирование
 
sudo cp /path/to/your/pam_pkcs11.conf /etc/pam_pkcs11/

...


Регистрация модуля PAM PKCS11 для аутентификации в системе 

Подключите модуль к системе авторизации PAM:

sudo vim nano /etc/pam.d/system-auth
# Для входа по Рутокена на экране приветствия
sudo vim nano /etc/pam.d/password-auth


Перед первым использованием модуля pam_unix добавьте туда строку со следующим содержимым:

...

В результате отобразится сообщение:

[user@fedora ~]$ sudo pkcs11_inspect
PIN for token:

...

 
Printing data for mapper digest:
CB:13:CA:34:AC:04:CD:BF:A6:17:29:2F:C8:00:6A:D5:54:B8:0B:BB

Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/digest_mapping в формате:

<вывод команды pkcs11_inspect> -> <имя_пользователя>

...

Пример заполнения файла:

[user@fedora ~]$ sudo cat /etc/pam_pkcs11/digest_mapping 
CB:13:CA:34:AC:04:CD:BF:A6:17:29:2F:C8:00:6A:D5:54:B8:0B:BB -> user

Попробуйте аутентифицироваться:

su <username>

...

Терминал должен запросить PIN код рутокена:

[user@fedora ~]$ su user
Smart card found.
Добро пожаловать Rutoken ECP <no label>!
Smart card PIN: 
verifying certificate
Checking signature
[user@fedora ~]$ 

В окне экрана приветствия аналогично:

...

В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.

Убедиться, в наличии файла pkcs11_eventmgr в папке /usr/bin/pkcs11_eventmgr

Если pkcs11_eventmgr находится в  /usr/local/bin/pkcs11_eventmgr, необходимо его перенести.

...

Для того, чтобы аутентификация корректно работала на лок скрине. В настройках pkcs11_eventmgr нужно указать название сервиса, использующегося при аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:

Название графической оболочки

echo $XDG_CURRENT_DESKTOP

Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.

MATE → mate-screensaver
X-Cinnamon → cinnamon-screensaver
fly → <Отсутствует>
KDE → kde
GNOME → xdg-screensaver

...


Для настройки pkcs11_eventmgr служит файл конфигурации - /etc/pam_pkcs11/pkcs11_eventmgr.conf

...

После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузите компьютер.

Для этого создайте папку ~/.config/autostart. И в данной директории создайте файл ~/.config/autostart/smartcard-screensaver.desktop

sudo mkdir ~/.config/autostart

sudo nano ~/.config/autostart/smartcard-screensaver.desktop

Содержание файла smartcard-screensaver.desktop должно быть следующим:

[Desktop Entry]
Type=Application
Name=Smart Card Screensaver
Comment=Application to lock screen on smart card removal.
Exec=/usr/bin/pkcs11_eventmgr daemon

...