...

В итоге выглядит это так:

...

Image Added

Аутентификация по сертификатам

...

1. Создать файл   /usr/share/pam-configs/p11 со следующим содержанием:

   Code Block
   Name: Pam_p11

   
   

   Default: yes

   
   

   Priority: 800

   
   

   Auth-Type: Primary

   
   

   Auth: sufficient pam_p11_opensc.so /usr/lib/opensc-pkcs11.so

    

2. Обновить конфигурацию PAM:

   Code Block
   language bash
   sudo pam-auth-update

    
   

3.  В появившемся диалоге необходимо выбрать pam_p11. Если вы хотите отключить аутентификацию по паролям, то можно отключить Unix authentication.

...

1. Создаем ключевую пару RSA длины 2048 бит c ID "45" (id стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.

   Code Block
   language bash
   pkcs15-init --generate-key rsa/2048 --auth-id 02 --id 45

   
   

   <вводим PIN пользователя>

   


2. Проверим сгенерированный ключ:

   Code Block
   language bash
   $ pkcs15-tool --list-keys

...

1. Using reader with a card: Aktiv Rutoken ECP 00 00

...

1. Private RSA Key [Private Key]

...

1. Object Flags : [0x3], private, modifiable

...

1. Usage : [0x4], sign

...

1. Access Flags : [0x1D], sensitive, alwaysSensitive, neverExtract, local

...

1. ModLength : 2048

...

1. Key ref : 1 (0x1)

...

1. Native : yes

...

1. Path : 3f001000100060020001

...

1. Auth ID : 02

...

1. ID : 45

Создание сертификата и импорт его на токен

1. Запускаем openssl

   Code Block
   language bash
   $ openssl

   


2. Подгружаем модуль поддержки pkcs11:

   Code Block
   language bash
   OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:opensc-pkcs11.so

   (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/lib/engines/engine_pkcs11.so [Success]: ID:pkcs11 [Success]: LIST_ADD:1 [Success]: LOAD Loaded: (pkcs11) pkcs11 engine

3. Создаем самоподписанный сертификат в PEM-формате:

   Code Block
   language bash
   OpenSSL> req -engine pkcs11 -new -key 1:45 -keyform engine -x509 -out cert.pem -text

    

   1:45 - это пара slot:id. Если OpenSSL не видит токен, то стоит попробовать другой номер слота.
   OpenSSL при этом предложит ввести PIN-код и заполнить информацию о сертификате. Теперь можно выйти из OpenSSL и проверить новый сертификат.
   
   

4. Проверяем созданный сертификат. В текущем каталоге должен создаться файл самоподписанного сертификата с именем cert.pem.
   Примечание: если при создании сертификата в OpenSSL убрать ключ -x509, то на выходе получим заявку на сертификат.

   Code Block
   language bash
   $openssl verify -CAfile cert.pem cert.pem

   cert.pem: OK

5. Сохраняем сертификат на токен:

   Code Block
   language bash
   $ pkcs15-init --store-certificate cert.pem --auth-id 02 --id 45 --format pem

...

1. <Вводим PIN пользователя>

Занесение сертификата в список доверенных

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
pkcs15-tool -r <certificate_id> > ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Заключение

Описанных выше действий достаточно для аутентификации по токену.

...