Оглавление
Стенд:
...
- Сервер — Astra Linux Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
- Клиент — Astra Linux Smolensk SE 1.6, Update 2, Bulletin 20190222SE16;
- JaCarta PKI;
| Информация |
|---|
Применимо для Astra Linux Орёл 2.12 |
Предполагается, что Astra Linux Directory (ALD) уже развернут, существует минимум один доменный пользователь, который может пройти аутентификацию по паролю, время клиента и сервера совпадают (ntp).
Установка драйверов на сервер и клиент
...
Для обеспечения работы со смарт-картой JaCarta на клиенте и сервере установите следующие пакеты: libccid, pcscd, libpcsclite1, opensc.
...
| Блок кода |
|---|
user ~$ $ sudo dpkg -i название_загруженного_пакета.deb |
Установка и настройка центра сертификации на сервере
...
Для работы модуля pkinit нам придется воспользоваться OpenSSL в качестве УЦ(CA), чтобы создать ключевые пары и сертификаты клиента и сервера.
...
| Блок кода |
|---|
systemctl restart krb5-admin-server systemctl restart krb5-kdc |
Подготовка смарт-карты. Выпуск ключей и сертификата пользователя
...
Подключите устройство, которое следует подготовить.
...
| Предупреждение |
|---|
В зависимости от модели токена (PKI / GOST), в дальнейшем требуется указывать определенную библиотеку ( libjcPKCS11-2.so или libASEP11.so) |
Проверка работы JaCarta в системе
...
Для проверки работы JaCarta:
...
| Примечание |
|---|
путь до библиотеки libjcPKCS11-2.so, libASEP11.so может различаться. Для того чтобы определить путь до библиотеки libjcPKCS11-2.so введите команду: |
Инициализация устройства
...
Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.
...
| Предупреждение |
|---|
Внимание! Инициализация устройства удалит все данные на JaCarta PKI без возможности восстановления. |
Генерация пары ключей на JaCarta
...
Сгенерируйте ключи на устройстве, для этого введите следующую команду:
...
| Примечание |
|---|
-keypairgen --key-type rsa:2048 — указывает, что должны быть сгенерированы RSA ключи длиной 2048 бит; |
Генерация запроса на сертификат
...
Сгенерируйте запрос на сертификат с помощью утилиты openssl. Для этого введите следующие команды:
...
| Примечание |
|---|
В случае если openssl выдаст ошибку о неверном слоте, № слота следует укзать в 10-м формате, например: 131071:33 |
Выпуск сертификата для пользователя
...
Необходимо установить переменные окружения:
...
| Примечание |
|---|
--write-object ./client.cer— указывает, что необходимо записать объект и путь до него; |
Настройка клиента. Проверка работоспособности
...
Создайте на клиенте каталог /etc/krb5/. Скопируйте в /etc/krb5/ сертификат CA (cacert.pem) c сервера.
...
Вход выполняется с подключенным токеном к компьютеру. При графическом входе в поле Login вводится имя пользователя, в поле Password вводится <PIN пользователя>. При консольном входе все аналогично, только в момент ввода пароля будет сообщено, что требуется <PIN пользователя>.
| Блок кода |
|---|
$ login test1 |
Настройка политики аутентификации
...
Существует возможность указания дополнительных параметров модуля аутентификации pam_krb5.so в файле /etc/pam.d/common-auth в строке относящейся к pam_krb5.so:
...
Более подробное описание см. в руководстве man.
Полезные ссылки
...
...