Подключите Рутокен ЭЦП 2.0 к компьютеру |
Подключите Рутокен ЭЦП 2.0 к компьютеру.
Убедитесь в том, что на USB-токене или считывателе для смарт-карт светится индикатор.
Откройте Terminal.
Для проверки корректности работы Рутокен ЭЦП 2.0 введите команду:
$ pcsc_scan |
Если Рутокен ЭЦП 2.0 не работает, то в окне терминала отобразится сообщение об этом.
Если Рутокен ЭЦП 2.0 работает, то в окне терминала отобразится сообщение об этом.
Такое сообщение в системе ALT Linux выглядит следующим образом:
Для остановки сервиса pcscd введите команду:
$ sudo service pcscd stop |
Перед началом работы, установите следующие пакеты:
sudo yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit |
Загрузите модуль librtpkcs11ecp.so и установите
sudo rpm -i librtpkcs11ecp_1.9.15.0-1_x86_64.rpm |
Для начала установите engine_pkcs11.so для того, чтобы openssl смог общаться с токеном. Для этого соберите библиотеку libp11 из репозитория. Вместе с ней идет engine_pkcs11.so начиная с версии 0.4
Вы можете пропустить данный раздел, если у вас уже имеются необходимые RSA ключи
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45 |
Теперь создайте самоподписанный сертификат:
openssl |
Поместите его на токен
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45 |
Проверьте, что токен подключен и сертификаты с ключами на нем имеются.
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l |
Создайте базу данных доверенных сертификатов
sudo mkdir /etc/pam_pkcs11/nssdb |
Выгрузите ваш сертификат с токена (если вы пользовались вышеописанной инструкцией для получения сертификата, то ID = 45)
pkcs11-tool --module=/usr/lib64/librtpkcs11ecp.so -l -r -y cert -d <ID> -o cert.crt |
Добавьте сертификат в доверенные
sudo cp cert.crt /etc/pki/ca-trust/source/anchors/ (команда вводится из директории, в которую был помещён сертификат) |
Создайте (например, на рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:
pam_pkcs11 { |
Поместите файл в каталог /etc/pam_pkcs11/:
cd /etc/pam_pkcs11/ |
Подключите модуль к системе авторизации PAM:
sudo vim /etc/pam.d/system-auth |
Добавьте туда строку со следующим содержимым:
auth sufficient pam_pkcs11.so |
Сохраните файл и узнайте описание вашего сертификата с помощью следующей команды:
sudo pkcs11_inspect |
На выходе вы увидите сообщение:
Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/subject_mapping в формате
Вывод команды pkcs11_inspect -> <имя_пользователя>
Попробуйте аутентифицироваться
su oleg |
Вывод будет примерно следующим:
Такой подробный вывод можно отключить, убрав опцию debug для pam модуля в файле конфигурации /etc/pam.d/system-auth