| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
Состав пакета astra-802-1x
- сценарий аутентификации astra-802-1x;
инструмент деаутентификации astra-802-1x_logoff;
- конфигурационный файл /usr/share/pam-configs/astra-802-1x для PAM-стека;
- конфигурационный файл /etc/astra-802-1x/astra-802-1x.cfg для astra-802-1x и astra-802-1x_logoff.
Установка инструментов
Для установки инструментов:
- Ввести компьютер в домен.
Обновить списки пакетов:
Command sudo apt update Установить пакет astra-802-1x:
Command sudo apt install astra-802-1x Пакеты csp-monitor и gnutls-bin установятся автоматически по зависимостям.
Особенности установки пакета astra-802-1x
Набор инструментов оформлен в виде стандартного пакета Debian.
При установке пакета выполняются следующие действия:
- в PAM-стек добавляется вызов сценария аутентификации (файл /etc/pam.d/common-auth, секция Additional);
- в файлы /usr/share/fly-wm/theme/default.themerc и /home/*/.fly/theme/default.themerc при условии, что обратные вызовы не задействованы, добавляются обратные вызовы деаутентификации по включению блокировки экрана.
При удалении пакета выполняются обратные действия.
Сценарий аутентификации astra-802-1x
Назначение: сценарий аутентификации 802.1х для использования в PAM-стеке.
Исполняемый фал: /usr/sbin/astra-802-1x.
Конфигурационный файл: /etc/astra-802-1x/astra-802-1x.cfg.
Особенности и ограничения:
- Подразумевается, что двухфакторная аутентификация (2ФА) по ключевым носителям настраивается отдельно. Пакет обеспечивает только расширение функциональности настроенной 2ФА.
- Подразумевается, что сетевые интерфейсы управляются службой Network Manager.
- Для поиска ключевых носителей используются интерфейсные библиотеки /usr/lib/libjcPKCS11-2.so (Аладдин) и /usr/lib/librtpkcs11ecp.so (Рутокен). Если библиотека не установлена - она игнорируется.
- Используется первый найденный ключевой носитель.
- Предполагается, что на найденном носителе имеется только одна ключевая пара и соответствующий сертификат).
- Ключевые носители, имеющие ненулевое количество неудачных вводов PIN-кода, игнорируются для предотвращения их окончательной блокировки.
- PIN-код ключевого носителя (пароль пользователя) передается через стандартный ввод (см. man pam_exec).
- Имя пользователя передается через переменную окружения PAM_USER (см. man pam_exec).
- PIN-код ключевого носителя (пароль пользователя) сохраняется в конфигурационном файле Network Manager (/etc/NetworkManager/system-connectons/<имя_сетевого_соединения>) и защищен от несанкционированного доступа дискреционными правами доступа.
- Ограничения для версий до 0.1.6 включительно:
- имя машины (hostname) должно содержать доменную часть;
- имя сетевого подключения Network Manаger должно совпадать с именем сетевого устройства и не содержать пробелов;
- при выходе из консольной сессии деаутентификация сетевого соединения не поддерживается;
- для автоматической аутентификации 802-1x при разблокировке сессии пользователь должен входить в группу netdev.
Синтаксис конфигурационного файла — bash source. Комментарии не поддерживаются. Значения параметров должны быть заключены в одинарные кавычки. Поддерживаемые переменные (указаны значения по умолчанию):
- con='eth0' – сетевой интерфейс.
- tls='true' — использовать аутентификацию TLS. В качестве аутентификационных данных используется ключевая пара на ключевом носителе. При этом предполагается, что сценарий получил через механизмы PAM-стека в качестве кода доступа PIN-код ключевого носителя.
- peap='true' — использовать аутентификацию PEAP (имя пользователя и пароль). При этом предполагается, что через механизмы PAM-стека в качестве кода доступа получен пароль пользователя.
Если включены одновременно типы аутентификации TLS и PEAP, то:- выполняется попытка найти данные для аутентификации по протоколу TLS;
- если аутентификационные данные TLS найдены, то выполняется попытка аутентификации TLS с использованием кода доступа как PIN-кода. Результат аутентификации не проверяется;
- если аутентификационные данные TLS не найдены - то предполагается, что получен пароль пользователя, и используется механизм аутентификации PEAP.
- выполняется попытка найти данные для аутентификации по протоколу TLS;
- debug='true' — включить отладку (запись трассировки в журнал /var/log/syslog).
- url="'model=Rutoken%20ECP" ' – URL для фильтрации записей на ключевом носителе при поиске сертификатов.
- ca_cert="'/etc/sssd/pki/sssd_auth_ca_db.pem" ' — сертификат удостоверяющего центра для проверки подлинности аутентифицирующей стороны. Необязателен.
Вызов сценария выполняется в PAM-стеке (/etc/pam.d/common-auth) после успешной аутентификации пользователя.
Инструмент деаутентификации astra-802-1x_logoff
Назначение: принудительная деаутентификация в сети.
Исполняемый файл: /usr/bin/astra-802-1x_logoff.
Конфигурационный файл: не используется.
Особенности и ограничения:
- Подразумевается, что сетевые интерфейсы управляются службой Network Manager.
- Имя сетевого интерфейса берется из параметра con конфигурационного файла /etc/astra-802-1x/astra-802-1x.cfg. По умолчанию используется имя eth0.
- Может выполняться от имени непривилегированного пользователя. Для получения необходимых привилегий используется бит suid.
Предполагается использование инструмента в сценариях обратного вызова (callback) при включении блокировки экрана (поддерживается в fly-wm начиная с версии 2.43.18+ci63).
Сценарий обработки обратного вызова указывается в файлах themerc параметрами:
| Блок кода |
|---|
LockerInCallback= LockerOutCallback= |
echo "LockerInCallback=/usr/bin/astra-802-1x_logoff" | sudo tee -a /home/i.ivanov@windom2016.ru/.fly/theme/{default,current}.themerc
| Информация |
|---|
| При использовании режима киоска выполнение сценария обратного вызова необходимо явно разрешить. |