Сценарий аутентификации astra-802-1x

Назначение: сценарий аутентификации 802.1х для использования в PAM-стеке.

Исполняемый фал: /usr/sbin/astra-802-1x.

Конфигурационный файл: /etc/astra-802-1x/astra-802-1x.cfg.

Особенности и ограничения:

• подразумевается, что сетевые интерфейсы управляются службой Network Manager;
• для поиска ключевых носителей интерфейсные библиотеки /usr/lib/libjcPKCS11-2.so (Аладдин) и /usr/lib/librtpkcs11ecp.so (Рутокен);
• используется первый найденный ключевой носитель;
• предполагается, что на найденном носителе имеется только одна ключевая пара;
• ключевые носители, имеющие ненулевое количество неудачных вводов PIN-кода, игнорируются для предотвращения их окончательной блокировки;
• PIN-код ключевого носителя (пароль пользователя) передается через стандартный ввод (см. man pam_exec);
• имя пользователя передается через переменную окружения PAM_USER (см. man pam_exec);
• PIN-код ключевого носителя (пароль пользователя) сохраняется в конфигурационном файле Network Manager (/etc/NetworkManager/system-connectons/<имя_сетевого_соединения>) и защищен от несанкционированного доступа дискреционными правами доступа.

Синтаксис конфигурационного файла — bash source. Поддерживаемые переменные (указаны значения по умолчанию):

• con=eth0 – сетевой интерфейс.
• tls=true — использовать аутентификацию TLS. В качестве аутентификационных данных используется ключевая пара на ключевом носителе. При этом предполагается, что сценарий получил через механизмы PAM-стека PIN-код ключевого носителя.
• peap=true — использовать аутентификацию PEAP (имя пользователя и пароль). При этом предполагается, что через механизмы PAM-стека получен пароль пользователя.
  Если включены одновременно типы аутентификации TLS и PEAP, то:
  • выполняется попытка аутентифкации TLS с PIN-кодом ключевого носителя;
  • если аутентификационные данные TLS не найдены - то предполагается, что получен пароль, и используется PEAP.
• debug=yes — включить отладку (запись трассировки в /var/log/syslog).
• url="model=Rutoken%20ECP" – URL для фильтрации записей на ключевом носителе.
• ca_cert="/etc/sssd/pki/sssd_auth_ca_db.pem" — сертификат удостоверяющего центра для проверки подлинности аутентифицирующей стороны. Необязателен. 

Вызов сценария выполняется в PAM-стеке (/etc/pam.d/common-auth) после успешной аутентификации пользователя.

Инструмент деаутентификации astra-802-1x_logoff

Назначение: принудительная деаутентификация в сети.

Исполняемый файл: /usr/bin/astra-802-1x_logoff.

Конфигурационный файл: не используется.

Особенности и ограничения:

• Подразумевается, что сетевые интерфейсы управляются службой Network Manager.
• Имя сетевого интерфейса может быть передано как параметр вызова команды. По умолчанию используется имя eth0.
• Может выполняться от имени непривилегированного пользователя. Для получения необходимых привилегий используется бит suid.

Предполагается использование инструмента в сценариях обратного вызова (callback) при включении блокировки экрана (поддерживается в fly-wm начиная с версии 2.43.18+ci63).

Сценарий обработки обратного вызова указывается в файлах themerc параметрами:

LockerInCallback=
LockerOutCallback=