Стенд:

• Сервер — Astra Linux Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
• Клиент — Astra Linux Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
• JaCarta PKI;

Предполагается, что Astra Linux Directory (ALD) уже развернут, существует минимум один доменный пользователь, который может пройти  аутентификацию по паролю, время клиента и сервера совпадают (ntp).

Терминология Kerberos

• Билет (ticket) – временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба.
• Клиент (client) – некая сущность в сети (пользователь, хост или сервис), которая может получить билет от Kerberos.
• Центр выдачи ключей (key distribution center, KDC) – сервис, выдающий билеты Kerberos.
• Область (realm) – сеть, используемая Kerberos, состоящая из серверов KDC и множества клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена.
• Принципал (principal) – уникальное имя для клиента, для которого разрешается аутентификация в Kerberos. Записывается в виде root[/instance]@REALM.

Установка драйверов на сервер и клиент

Для обеспечения работы со смарт-картой JaCarta на клиенте и сервере установите следующие пакеты: libccid, pcscd, libpcsclite1, opensc.

Для обеспечения работы со смарт-картой подсистемы Kerberos добавочно к предустановленным пакетам ald/kerberos установите пакет krb5-pkinit, libpam-krb5 на клиенте и сервере.

Для обеспечения возможности выпуска ключей и сертификатов на JaCarta  на сервере также установите пакеты libengine-pkcs11-openssl1.1

Для обеспечения возможности обращения к смарт-карте JaCarta, на клиенте и сервере следует  установить библиотеку libjcPKCS11-2.so (для JaCarta PKI/ГОСТ/FLASH), libASEP11.so (для JaCarta PKI)  которую следует скачать с официального сайта Аладдина:  

https://www.aladdin-rd.ru/support/downloads/jacarta

sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc krb5-pkinit libpam-krb5 libengine-pkcs11-openssl1.1

Установка и настройка центра сертификации на сервере

Image Modified

Для работы модуля pkinit нам придется воспользоваться OpenSSL в качестве УЦ(CA), чтобы создать ключевые пары и сертификаты клиента и сервера.

OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA, ГОСТ и сертификаты X.509, подписывать их, формировать CSR и CRT.

Все настройки в руководстве выполняются для тестового домена SMARTCARD.ALD. Примем, что:

• сервер и клиент принадлежат домену SMARTCARD.ALD

• ;
• имя

• службы - kdc

• ;
• имя клиента - client.

При настройке используйте имя вашего домена, сервера и клиента.

Выполните следующие действияПорядок действий:1) Создайте каталог CA

1. Создать каталог удостоверяющего центра (УЦ) командой:

   Command
   mkdir /etc/ssl/CA

1. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.

1. 
   

2. Перейти в созданный каталог:

   Command
   cd /etc/ssl/CA

   
   

3. Создать

1. ключ и сертификат

1. УЦ:

   Command
   openssl genrsa -out cakey.pem 2048 openssl req -key cakey.pem -new -x509 -days 3650 -out cacert.pem

   
   

   Примечание
   Параметр days

1. определяет количество дней действия сертификата

1. УЦ.

   
   

2. В диалоге

1. заполнить необходимую информацию о

1. создаваемом УЦ.

   Примечание
   В параметре Common name указать имя домена. В случае нашего примера: SMARTCARD.ALD

   Image Modified

1. Создать ключ и сертификат службы KDC:

   Command
   openssl genrsa -out kdckey.pem 2048 openssl req -new -out kdc.req -key kdckey.pem

   В диалоге заполните необходимую информацию о вашем сервере.

   Примечание
   В Common name указать имя службы kdc.

1. 
   

2. Установить переменные среды. Переменные среды устанавливаются в рамках сессии

1. , не устанавливаются для других сессий

1. , не сохраняются после закрытия сессии

1. :

   Command
   export REALM=SMARTCARD.ALD export CLIENT=kdc

1. 
   

2. Убедиться что переменные указаны верно,

1. воспользовавшись командой:

   Command
   env | grep -E "REALM|CLIENT"

1. 
   

2. Загрузить файл pkinit_extensions и

1. сохранить в каталог в котором

1. выполняются команды:

1. pkinit_extensions

1. .

   Раскрыть
   title содержимое файла pkinit_extensions:
   Блок кода [ kdc_cert ] basicConstraints=CA:FALSE   # Here are some examples of the usage of nsCertType. If it is omitted keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement   #Pkinit EKU extendedKeyUsage = 1.3.6.1.5.2.3.5   subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer   # Copy subject details   issuerAltName=issuer:copy   # Add id-pkinit-san (pkinit subjectAlternativeName) subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:kdc_princ_name   [kdc_princ_name] realm = EXP:0, GeneralString:${ENV::REALM} principal_name = EXP:1, SEQUENCE:kdc_principal_seq   [kdc_principal_seq] name_type = EXP:0, INTEGER:1 name_string = EXP:1, SEQUENCE:kdc_principals   [kdc_principals] princ1 = GeneralString:krbtgt princ2 = GeneralString:${ENV::REALM}   [ client_cert ]   # These extensions are added when 'ca' signs a request.   basicConstraints=CA:FALSE   keyUsage = digitalSignature, keyEncipherment, keyAgreement   extendedKeyUsage =  1.3.6.1.5.2.3.4 subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer     subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:princ_name     # Copy subject details   issuerAltName=issuer:copy   [princ_name] realm = EXP:0, GeneralString:${ENV::REALM} principal_name = EXP:1, SEQUENCE:principal_seq   [principal_seq] name_type = EXP:0, INTEGER:1 name_string = EXP:1, SEQUENCE:principals   [principals] princ1 = GeneralString:${ENV::CLIENT}

1. 
   

2. Выпустить сертификат KDC:

   Command

1. openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert -CAcreateserial -days 365

1. 
   

2. Файлы kdc.pem, kdckey.pem, cacert.pem 

1. переместить в каталог/var/lib/krb5kdc/:

   Command
   sudo mv kdc.pem, kdckey.pem, cacert.pem /var/lib/krb5kdc/

1. 
   

2. Создайть резервную копию файла /etc/krb5kdc/kdc.conf

1. ;

2. Отредактировать файл /etc/krb5kdc/kdc.conf, дополнив секцию [kdcdefaults] следующими записями:

1. Блок кода
   pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem

   Первая запись задаёт ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.

1. Для принятия изменений

1. выполнить команды:

1. Command
   sudo

1. systemctl

1. restart

1. krb5-admin-server

1. sudo

1. systemctl

1. restart

1. krb5-kdc

   
   

Подготовка смарт-карты. Выпуск ключей и сертификата пользователя

1. Подключить устройство, которое следует подготовить

1. ;

   Предупреждение
   В зависимости от модели токена (PKI

1. или GOST), в дальнейшем требуется указывать определенную библиотеку (

1. libjcPKCS11-2.so

1. или libASEP11.so)

   
   

Проверка работы JaCarta в системе

Для проверки работы JaCarta:

• libjcPKCS11-2.so (для JaCarta PKI/ГОСТ/FLASH):

  Command
  pkcs11-tool --module /usr/lib/libjcPKCS11-2.so -T

  
  
  

• libASEP11.so (для JaCarta PKI):

  Command
  pkcs11-tool --module /usr/lib/x64-athena/libASEP11.so -T

  
  

Image Modified

Инициализация устройства

Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.:

pkcs11-tool --slot 0x1ffff --init-token --so-pin 00000000 --label 'JaCarta PKI' --module /usr/lib/libjcPKCS11-2.so

Для задания ПИН кода пользователя используйте использовать команду:

pkcs11-tool --slot 0x1ffff --init-pin --so-pin 00000000 --login --pin 11111111 --module /usr/lib/libjcPKCS11-2.so

Image Modified

Генерация пары ключей на JaCarta 

Сгенерируйте ключи Для создания ключей на устройстве , для этого введите следующую выполнить команду:

Image Modified

Генерация запроса на сертификат

Сгенерируйте Сгенерировать запрос на сертификат с помощью утилиты инструмента openssl. Для этого введите выполнить следующие команды:

Выпуск сертификата для пользователя

Необходимо установить переменные окружения:

Для того, чтобы убедиться что переменные указаны верно, воспользуйтесь командой:

и выпустить сертификат на пользователя:

Далее перекодируйте полученный сертификат из формата PEM в формат DER. 

Запишите полученный сертификат на токен:

Настройка клиента. Проверка работоспособности

Создайте на клиенте каталог /etc/krb5/. Скопируйте в /etc/krb5/ сертификат CA (cacert.pem) c сервера.

Настройте kerberos в /etc/krb5.conf. Секцию [libdefaults] дополните следующими строками:

[libdefaults] 
default_realm = SMARTCARD.ALD
pkinit_anchors = FILE:/etc/krb5/cacert.pem
# для аутентификации по токену
pkinit_identities = PKCS11:/usr/lib/libjcPKCS11-2.so

Выполните проверку: 

Когда появится строка запроса PIN-кода к карте, введите его.

Для проверки того, что ,билет kerberos-тикет был успешно получен для пользователя, введите команду:

Для билета:

Image Modified

Вход выполняется выполнять с подключенным токеном к компьютеру токеном. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.:

Настройка политики аутентификации

Существует возможность указания дополнительных параметров модуля аутентификации pam_krb5.so в файле /etc/pam.d/common-auth в строке относящейся к pam_krb5.so:
Image Modified

– try_pkinit — режим при котором осуществляется попытка аутентификации с помощью устройств PKCS-11, в случае провала попытки предоставляется возможность входа с помощью Kerberos пароля пользователя;

– use_pkinit — режим при котором требуется аутентификация с помощью устройств PKCS-11, в случае провала процесс входа прерывается;

– pkinit_prompt — вывод приглашения для подключения устройства PKCS-11 перед выполнением попытки входа.

Image Modified

Более подробное описание см. в руководстве man.

Полезные ссылки

• Описание протокола Kerberos

• Официальная документация