Справочный центр

Дерево страниц

Сравнение версий

Старая версия 38

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 39

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleСтатья применима для:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Стенд:

Описание стенда


  • Сервер — Astra Linux Smolensk SE Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
  • Клиент — Astra Linux Smolensk SE Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
  • Рутокен ЭЦП;


Предполагается, что:

  • Astra Linux Directory (ALD) уже развернут (см. Astra Linux Directory (ALD));
  • сервер и клиент входят в домен SMARTCARD.ALD, имя сервера - kdc, а клиента - client.
  • существует минимум один доменный пользователь, который может
пройти 
  • пройти аутентификацию по паролю
, время
  • ;
  • показания часов клиента и сервера совпадают (
ntp).


Терминология Kerberos

  • Билет (ticket) – временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба.
  • Клиент (client) – некая сущность в сети (пользователь, хост или сервис), которая может получить билет от Kerberos.
  • Центр выдачи ключей (key distribution center, KDC) – сервисслужба, выдающий выдающая билеты Kerberos.
  • Область (realm) – сеть, используемая Kerberos, состоящая из серверов KDC и множества клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена, записанным заглавными буквами.
  • Принципал (principal) – уникальное имя для клиента, для которого разрешается аутентификация в Kerberos. Записывается в виде root[/instance]@REALM.


Установка

драйверов

пакетов на сервер и клиент

Для обеспечения работы со смарт-картой Рутокен ЭЦП на На клиенте и сервере установите должны быть установлены следующие пакеты libccid, pcscd, libpcsclite1, opensc.из репозитория Astra Linux:

  1. Для обеспечения работы со смарт-картой Рутокен ЭЦП:
    • libccid;
    • pcscd;
    • libpcsclite1;
    • opensc;
  2. Для обеспечения работы Kerberos со смарт-картой:
    • krb5-pkinit;
    • libpam-krb5.

На сервере для картой подсистемы Kerberos добавочно к предустановленным пакетам ald/kerberos установите пакет krb5-pkinit, libpam-krb5 на клиенте и сервере.Для обеспечения возможности выпуска ключей и сертификатов на   Рутокен ЭЦП  на сервере также установите пакеты должен быть установлен пакет  libengine-pkcs11-openssl1.1. 

Команда для установки всех вышеперечисленных пакетов:

Command
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc krb5-pkinit libpam-krb5 libengine-pkcs11-openssl1.1


Для обеспечения возможности обращения к смарт-карте Рутокен ЭЦП,  на на клиенте и сервере следует  установить библиотеку стороннюю библиотеку librtpkcs11ecp.so, которую следует скачать с официального сайта Актив-софта: производителя токенов Рутокен — компании Актив https://www.rutoken.ru/support/download/pkcs/

Image Removed

Информацияinfo
Версия библиотеки для Эльбруса доступна по ссылке: librtpkcs11ecp_2.0.2.0-1astra_e2k-8c.deb


Установка загруженного файла может быть выполнена командой:

Command
sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc krb5-pkinit libpam-krb5 libengine-pkcs11-openssl1.1
Command
sudo dpkg -i librtpkcs11ecp_1.8.2.0-1_amd64.deb

Установка и настройка центра сертификации на сервере

Image Removed

Для работы модуля pkinit нам придется воспользоваться OpenSSL в качестве УЦ(CA), чтобы создать ключевые пары и сертификаты клиента и сервера.

./librtpkcs11ecp_*_amd64.deb


Установка и настройка удостоверяющего центра на сервере

Для создания закрытых ключей (далее - ключи) и сертификатов закрытых ключей (далее - сертификаты) клиента и сервера в качестве удостоверяющего центра (УЦ) используется OpenSSL. OpenSSL — OpenSSL криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA, ГОСТ и сертификаты X.509, подписывать их, формировать CSR и CRT.

Все настройки в руководстве выполняются для тестового домена SMARTCARD.ALD. Примем, что сервер и клиент принадлежат домену SMARTCARD.ALD, имя сервера - kdc, а клиента - client. При настройке используйте имя вашего домена, сервера и клиента.

Выполните Для создания ключей и сертификатов выполнить следующие действия:1) Создайте каталог CA командой

  1. Создать каталог УЦ (имя каталога - CA).  В этом каталоге будут размещаться созданные ключи и сертификаты. Команда:

    Command
    sudo mkdir /etc/ssl/CA

и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.

2) Создайте


  2. Перейти в созданный каталог:

    Command
    cd /etc/ssl/CA


  3. Создать ключ и сертификат CA, в диалоге заполнив необходимую информацию:

    Примечание

    В Common Name указать имя домена. В настоящем примере: SMARTCARD.ALD 


    Command
    sudo openssl genrsa -out cakey.pem 2048
    sudo openssl req -key cakey.pem -new -x509 -days 3650 -out cacert.pem
Примечание

Где days - количество дней действия сертификата CA

В диалоге заполните необходимую информацию о вашем центре сертификации.

Примечание

В Common name указать имя домена. В случае нашего примера: SMARTCARD.ALD 

Image Removed

3) Создайте ключ и сертификат KDC:

  1. опция -days задает срок действия сертификата в днях (3650 дней). Пример диалога:

    Блок кода
    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ru
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Astra Linux
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Astra Linux
Organizational Unit Name (eg, section) []:Wiki
Common Name (e.g. server FQDN or YOUR name) []:SMARTCARD.ALD


  2. Создать ключ и сертификат KDC, в диалоге заполнив необходимую информацию. 

    Примечание

    В данном случае в поле Common

name

  1. Name указать kdc.

    Команда:

    Command
    sudo openssl genrsa -out kdckey.pem 2048
    sudo openssl req -new -out kdc.req
-key kdckey.pem

В диалоге заполните необходимую информацию о вашем сервере. 

4) Установите переменные среды. Переменные среды устанавливаются в рамках сессии и
  1. -key kdckey.pem


  2. Установите переменные окружения. Переменные окружения применяются в рамках текущей сессии, не устанавливаются для других сессий и не сохраняются после закрытия текущей сессии

.

  1. :

    Command
    export REALM=SMARTCARD.ALD
    export CLIENT=kdc

    Для того, чтобы убедиться что переменные указаны верно,

воспользуйтесь командой

  1. можно использовать команду:

    Command
    env | grep -E "REALM|CLIENT"
5) Загрузите


  2.  Загрузить файл

 

  1. pkinit_extensions и

сохраните в каталог в котором, Вы выполняете команды View filenamepkinit_extensionsheight150

  1. сохранить его в текущем каталоге:  pkinit_extensions. Содержимое файла:

    Раскрыть
    titleсодержимое файла pkinit_extensions:

    [ kdc_cert ]
    basicConstraints=CA:FALSE
     
    # Here are some examples of the usage of nsCertType. If it is omitted
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
     
    #Pkinit EKU
    extendedKeyUsage = 1.3.6.1.5.2.3.5
     
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid,issuer
     
    # Copy subject details
     
    issuerAltName=issuer:copy
     
    # Add id-pkinit-san (pkinit subjectAlternativeName)
    subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:kdc_princ_name
     
    [kdc_princ_name]
    realm = EXP:0, GeneralString:${ENV::REALM}
    principal_name = EXP:1, SEQUENCE:kdc_principal_seq
     
    [kdc_principal_seq]
    name_type = EXP:0, INTEGER:1
    name_string = EXP:1, SEQUENCE:kdc_principals
     
    [kdc_principals]
    princ1 = GeneralString:krbtgt
    princ2 = GeneralString:${ENV::REALM}
     
    [ client_cert ]
     
    # These extensions are added when 'ca' signs a request.
     
    basicConstraints=CA:FALSE
     
    keyUsage = digitalSignature, keyEncipherment, keyAgreement
     
    extendedKeyUsage =  1.3.6.1.5.2.3.4
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid,issuer
     
     
    subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:princ_name
     
     
    # Copy subject details
     
    issuerAltName=issuer:copy
     
    [princ_name]
    realm = EXP:0, GeneralString:${ENV::REALM}
    principal_name = EXP:1, SEQUENCE:principal_seq
     
    [principal_seq]
    name_type = EXP:0, INTEGER:1
    name_string = EXP:1, SEQUENCE:principals
     
    [principals]
    princ1 = GeneralString:${ENV::CLIENT}

6) Выпустите kdc


  2. Выпустить сертификат KDC:

    Command
    sudo openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert -CAcreateserial -days 365
7) Файлы 


  1. Файлы kdc.pem, kdckey.pem, cacert.

pem перенесите

  1. pem скопировать в

 

  1. каталог /var/lib/krb5kdc/:

    Command
    sudo cp kdc.pem kdckey.pem cacert.pem /var/lib/krb5kdc/
8) Создайте


  2. Создать резервную копию файла /etc/krb5kdc/kdc.conf

. Отредактируйте

  1. , после чего отредактировать /etc/krb5kdc/kdc.conf, дополнив секцию [kdcdefaults] следующими записями:

    Блок кода
    pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem

    Первая запись

задаёт

  1. задает ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.

9.

  1. Для принятия изменений

выполните

  1. выполнить команду:

    Command
    sudo systemctl restart krb5-admin-server

sudo systemctl restart
  1. krb5-kdc


Подготовка смарт-карты. Выпуск ключей и сертификата пользователя

Подключите устройство, которое следует подготовить.

Проверка работы Рутокен в системе

Для проверки работы РутокенаРутокен:

  1. Определить расположение библиотеки  librtpkcs11ecp.so:

    Command
pkcs11-tool --module
  1. find /usr/
lib/
  1. *(lib|lib64) -name librtpkcs11ecp.so
-TImage Removed
Примечаниепуть до библиотеки

  1. Далее используется путь /usr/lib/librtpkcs11ecp.so

может различаться

  1. .

  2. Выполнить команду, указав актуальное расположение библиотеки

Для того чтобы определить путь до библиотеки librtpkcs11ecp.so введите команду

  1. :

    Command
find
  1. pkcs11-tool --module /usr/
*(lib|lib64) -name
  1. lib/librtpkcs11ecp.so -T


Image Added



Инициализация устройства

Проинициализируйте устройство, установите PIN-код пользователя. Помните, что инициализация

Предупреждение
Инициализация устройства удалит все данные на Рутокен ЭЦП без возможности восстановления.

Для инициализации необходимо воспользоваться утилитой pkcs11используется инструмент pkcs11-tool.:

Command

pkcs11-tool --slot 0 --init-token --so-pin 87654321 --label 'AstraLinux' --module /usr/lib/librtpkcs11ecp.so


Примечание

--slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения - 1,2 и т.д.; 
--init-token - команда инициализации токена; 
--so-pin 87654321 - PIN-код администратора Рутокен ЭЦП. По умолчанию имеет значение 87654321; 
--label 'AstraLinux' - название устройства; 
--module /usr/lib/librtpkcs11ecp.so — указывает путь до библиотеки librtpkcs11ecp.so. 


Задания

Задание PIN-кода пользователя

Для задания PIN-кода пользователя используйте использовать команду:

Command

$ pkcs11pkcs11-tool --slot 0 --init-pin --so-pin '87654321' --login --pin '12345678' --module /usr/lib/librtpkcs11ecp.so


Примечание

--init-pin - команда установки PIN-кода пользователя; 
--login - команда входа в токен; 
--pin 12345678 - задаваемый PIN-код пользователя; 


Генерация пары ключей на Рутокен ЭЦП

Сгенерируйте ключи Для генерации ключей на устройстве , для этого введите следующую использовать команду:

Command

pkcs11-tool --slot 0 --login --pin 12345678 --keypairgen --key-type rsa:2048 --id 33 --label “2fa_test1_key” --module /usr/lib/librtpkcs11ecp.so


Примечание

-keypairgen --key-type rsa:2048 — указывает, что должны быть сгенерированы RSA ключи длиной 2048 бит; 
--id 33 — устанавливает атрибут CKA_ID ключа. CKA_ID может быть любым; 
--label “test1 key” — устанавливает атрибут CKA_LABEL(имя) ключа. Атрибут может быть любым; 


Генерация запроса на сертификат


Сгенерируйте запрос на сертификат с помощью утилиты openssl. Для этого введите Для генерации запроса на сертификат использовать команду:

Command
openssl
и далее в диалоге openssl выполните выполнить команды:

OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1  -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so

(dynamic) Dynamic engine loading support
[Success]: SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so
[Success]: ID:pkcs11
[Success]: LIST_ADD:1
[Success]: LOAD
[Success]: MODULE_PATH:/usr/lib/librtpkcs11ecp.so
Loaded: (pkcs11) pkcs11 engine


OpenSSL> req -engine pkcs11 -new -key 0:33 -keyform engine -out client.req

engine "pkcs11" set.
Enter PKCS#11 token PIN for Rutoken ECP <AstraLinux>:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Rusbitech  
Organizational Unit Name (eg, section) []: Astra
Common Name (e.g. server FQDN or YOUR name) []:test1 (!Имя_Доменного_Пользователя!)
Email Address []: (!Адрес_Электронной_Почты!)
 
OpenSSL> exit


Примечание

-new -key 0:33, где 0— номер виртуального слота с устройством, 33— атрибут CKA_ID раннее сгенерированных ключей.

в CN = следует указать имя пользователя


Выпуск сертификата для пользователя

Установить переменные окружения:

Command
export REALM=SMARTCARD.ALD
export CLIENT=test1 


Примечание

SMARTCARD.ALD - имя домена
test1 - имя доменного пользователя

Для того, чтобы убедиться что переменные указаны верно, воспользуйтесь командойиспользовать команду:

Command
env | grep -E "REALM|CLIENT"


и выпустить Выпустить сертификат на пользователя:

Command
openssl x509 -CAkey cakey.pem -CA cacert.pem -req -in client.req -extensions client_cert -extfile pkinit_extensions -out client.pem -days 365

Далее перекодируйте Перекодировать полученный сертификат из формата PEM в формат DER.: 

Command
openssl x509 -in client.pem -out client.cer -inform PEM -outform DER

Запишите Записать полученный сертификат на токен:

Command
pkcs11-tool --slot 0 --login --pin 12345678 --write-object client.cer --type 'cert' --label 'test1' --id 33 --module /usr/lib/librtpkcs11ecp.so


Примечание

--write-object ./client.cer— указывает, что необходимо записать объект и путь до него;
--type 'cert'— указывает, что тип записываемого объекта - сертификат;
'cert' --label 'test1'— устанавливает атрибут CKA_LABEL(имя) сертификата. Атрибут может быть любым;


Настройка клиента. Проверка работоспособности

Создайте
  1. Создать на клиенте каталог /etc/krb5/
. Скопируйте в 
  1. ;
  2. Скопировать в созданный каталог /etc/krb5/ сертификат
CA
  1. УЦ (cacert.pem) c сервера.
Настройте kerberos в

  1. Настроить Kerberos, для чего в файле /etc/krb5.

conf. Секцию

  1. conf  секцию [libdefaults]

дополните

  1. дополнить следующими строками:

    Блок кода
    [libdefaults] 
default_realm = SMARTCARD.ALD
pkinit_anchors = FILE:/etc/krb5/cacert.pem
# для аутентификации по токену
pkinit_identities = PKCS11:/usr/lib/librtpkcs11ecp.so
Выполните


  2. Выполнить проверку: 

    Command
    $ kinit

    Когда появится строка запроса PIN-кода к карте,

введите

  1. ввести его.

  1. Для проверки того, что билет kerberos был успешно получен для пользователя,

введите

  1. выполнить команду:

    Command
    klist

    Для удаления билета:

    Command
    kdestroy


    Примечание

    Для включения отладки команду kinit

следует

  1. использовать в форме:

    Command
    env KRB5_TRACE=/dev/stdout kinit <имя_пользователя>






Вход выполняется с подключенным токеном к компьютеру. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.:

Command
login test1


Настройка политики аутентификации

Существует возможность указания дополнительных параметров модуля аутентификации pam_krb5.so в файле /etc/pam.d/common-auth в строке относящейся к pam_krb5.so:

– try_pkinit — режим при котором осуществляется попытка аутентификации с помощью устройств PKCS-11, в случае провала попытки предоставляется возможность входа с помощью Kerberos пароля пользователя;

– use_pkinit — режим при котором требуется аутентификация с помощью устройств PKCS-11, в случае провала процесс входа прерывается;

– pkinit_prompt — вывод приглашения для подключения устройства PKCS-11 перед выполнением попытки входа.


Примечание

После обновления pam-auth-update, опции pkinit исчезнут. 

Для того, чтобы опция сохранялась принудительно, в конфигурационном файле /usr/share/pam-configs/krb5 в поле Auth-Initial следует дописать одну из опций.


Более подробное описание см. в руководстве man.


Полезные ссылки