Page History

Установка необходимых пакетов

Для работы нам понадобиться 3 пакета:

...

- libpam-u2f – модуль PAM с поддержкой технологий аутентификации U2F и FIDO2.
- pamu2fcfg – пакет создает конфигурацию для модуля libpam-u2f и осуществляет процедуру регистрации аутентификатора U2F/FIDO2.
- fido2-tools – пакет для управления аутентификатором U2F/FIDO2 (например, сброс токена или назначения PIN-кода).

Для установки этих пакетов необходимо открыть Открыть терминал и выполнить команду:

$ sudo apt-get install libpam-u2f

...

 pamu2fcfg fido2-tools

В ОС Ubuntu Рутокен MFA можно использовать в двух сценариях аутентификации:

• Как второй фактор после ввода логина и пароля в виде прикосновения к токену

...

• .

...

• Как замена ввода пароля на ввод

...

• PIN-кода Рутокен MFA и прикосновение к токену.

Установка нового PIN-кода для Рутокен MFA

...

1. Запустить терминал.
2. Установить пакет для управления устройствами FIDO2. Для этого выполнить команду:
   $ sudo apt install fido2-tools
3. Подключить Рутокен MFA.

4. Вывести список подключенных устройств. Для этого выполнить команду:

   Code Block
   language bash
   $ fido2-token -L

   Вывод команды должен быть следующим:

   Code Block
   language bash
   /dev/hidraw1: vendor=0x0a89, product=0x0093 (Aktiv Co. FIDO)

   Нам понадобится строка /dev/hidraw1
   
   

5. Выполним команду установки нового PIN-кода:

   Code Block
   language bash
   $ fido2-token -S /dev/hidraw1

6. Дважды

   введем

   новый

   PIN-код:

   Code Block
   language bash
   Enter new PIN for /dev/hidraw1:

   
   

   Enter the same PIN again:

   Рутокен MFA готов к работе.

Настройка второго фактора

...

1. Запустить терминал.

2. Выполнить команду:

   Code Block
   language bash
   $ mkdir -p ~/.config/aktivco

3. Подключить Рутокен MFA

4. Выполнить команду:

   Code Block
   language bash
   $ pamu2fcfg > ~/.config/aktivco/u2f_keys

   В процессе выполнения команды необходимо будет прикоснуться к устройству Рутокен MFA.

5. Выполнить команду:

   Code Block
   language bash
   $ sudo mkdir -p /etc/

   /

   aktivco

6. Выполнить команду:

   Code Block
   language bash
   $ sudo mv ~/.config/aktivco/u2f_keys /etc/aktivco/u2f_keys

7. Выполнить

   команду:
   

   Code Block
   language bash
   $ sudo nano /etc/pam.d/common-auth

8. Добавить строку:
   

   Code Block
   language bash
   auth sufficient pam_u2f.so authfile=/etc/aktivco/u2f_keys

9. Сохранить файл /etc/pam.d/common-auth

10. Проверить

    что

    запрашивается

    касание

    в

    момент

    входа

    пользователя,

    выполнив

    команду:

    Code Block
    language bash
    $ su user

Настройка связки

...

PIN-код+касание:

1. Запустить терминал.

2. Выполнить

   команду:

   Code Block
   language bash
   $ pamu2fcfg -u

   yourusername

   <username> > /tmp/u2f_

   mappings Выполнить команду:

   mappings # В случае ввода команды без параметра <username> файл конфигурации будет создан для текущего пользователя

   В процессе выполнения команды необходимо будет прикоснуться к устройству Рутокен MFA.

3. В результате должен появиться файл со следующим содержимым:

   Code Block
   language bash
   $ cat /tmp/u2f_mappings user:hOzdi1ekgoVWLEzQH20uWJmoA3Dwno53zd2WCvlApHwfMVp/zz3+awUbeCL0E3pe,jzL+t6w7vhBgR2wwO+61/g8aliGNbDUpYZj6mxLXain4F1bQB0rvnwzP3n+n/GIXUp5Oiui0Du7/aKP/pE27PQ==,es256,+presence

4. Выполнить команду:
   

   Code Block
   language bash
   $ sudo mv /tmp/u2f_mappings /etc/u2f_mappings

5. Выполнить

   команду:
   

   Code Block
   language bash
   $ sudo nano /etc/pam.d/common-auth

6. Добавить

   строку:
   

   Code Block
   language bash
   auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1

7. Сохранить файл /etc/pam.d/common-auth

8. Проверить что запрашивается PIN-код Рутокен MFA при входе пользователя, выполнив команду:

   Code Block
   language bash
   $ su user Please enter the PIN: Please touch the device.

9. Проверить графический вход в систему:
   Image Added