Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Шухрат Махмадиев

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Поддерживаемые модели eToken в Astra Linux

...

  • 4100

...

  • 5100

...

  • 5105

...

  • 5110

...

  • 5200

...

  • Pro 72k

...

  • NG-OPT


Установка

...

Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:

  • библиотека libccid
  • пакеты libpcsclite1 и pcscd;
  • opensc

Для установки в терминале введите команду:

Testcommand
sudo apt-get install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*

...

После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:

Testcommand
sudo dpkg -i SafenetAuthenticationClient-amd64.deb

...

Предупреждение

Если при запуске SafeNet Authentication client возникает ошибка:

Блок кода
CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.

Для то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:

Command
sudo ln -s /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 /usr/lib/libcrypto.so.6


Проверка работы eToken в системе

...

Способ №1

Введите команду:

Testcommand
pkcs11-tool --module /usr/lib/libeToken.so -T

...

Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.

Testcommand
pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so

...

Для генерации ключевой пары RSA в терминале следует ввести команду:

Testcommand

pkcs11-tool --slot 0 --login --pin 12345678 --keypairgen --key-type rsa:2048 --id 16 --label "rsa key" --module /usr/lib/libeToken.so

...

Для создания самоподписанного сертификата в терминале следует ввести команду:

Блок кодаcommand
openssl

не выходя из openssl, ввести команду:

...

Блок кода
req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text

и команду

Блок кода
 exit


Предупреждение

В поле Common Name должно быть указано имя пользователя ОС.

...

Перекодируем полученный сертификат из PEM в DER:

Блок кодаcommand
openssl x509 -in test.pem -out test.cer -inform PEM -outform DER

Запишем сертификат test.cer на токен: 

Блок кодаcommand
pkcs11-tool --slot 0 --login --pin 12345678 --write-object test.cer --type 'cert' --label 'Certificate' --id 16 --module /usr/lib/libeToken.so


Информация

(или с помощью графической утилиты SACTool) 

Проверка ключей и сертификатов в eToken:

Блок кодаcommand
pkcs11-tool --module /usr/lib/libeToken.so -O -l

Локальная аутентификация в Astra Linux по eToken

...

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты: 

  • libpam-p11
  • libp11-2

Либо либо воспользовавшись терминалом FLY:

Testcommand
sudo apt-get install libp11-2 libpam-p11

...

Конвертируем сертификат в текстовый формат

Testcommand
openssl x509 -in название<имя_сертификата_вашегоиз_сертификататокена>.crt -out название<имя_сертификата_вашегоиз_сертификататокена>.pem -inform DER -outform PEM


Информация

где название<имя_сертификата_вашегоиз_сертификата.pem - Ваш токена> - имя файла, в котором сохранен ваш сертификат из токена в текстовом формате

...

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов: 
Добавляем сертификат в список доверенных сертификатов:

Testcommand
mkdir ~/.eid
chmod 0755 ~/.eid
cat Ваш<имя_сертификатсертификата_из_токенатокена>.pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

Testcommand
mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat Ваш <имя_сертификатсертификата_из_токена.pemтокена> >> /home/user/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

...

Информация

Важно помнить, что при регистрации нескольких токенов на одном компьютере , необходимо указывать пользователям раличные id.

...

Пуск - утилиты - Терминал Fly

Testcommand
sudo nano /usr/share/pam-configs/p11

записываем в файл следующую информацию:

Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/libeToken.so

записываем в файл следующую информацию

сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем

Testcommand
sudo pam-auth-update

в появившемся окне ставим галку в Pam_p11 и нажимаем OK 

...

Пуск - утилиты - Терминал Fly

sudo login

Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется <PIN пользователя>.

...