...
| Code Block | ||||
|---|---|---|---|---|
| ||||
# для Astra linux sudo apt-get install git # для Ред ОС sudo yum install git git clone https://github.com/AktivCo/linux-domain-user-2fa-tuner cd linux-domain-user-2fa-tuner |
Вставим Подключим токен и запустим скрипт (запускать не из под рута! скрипт сам запрашивает пароль администратора, когда это потребуется):
...
После ввода пароля в первую очередь необходимо сгенерировать ключ на токене (или использовать существующий) и создать заявку (PKCS#10-запрос) на сертификат нашего ключа.
Выберем существующий ключ или создадим новый.
После генерации ключа на экране отобразится его идентификатор на токене.
После выбора ключа вам будет предложено ввести данные для заявки. Все эти данные являются опциональными, кроме "Общего имени". Туда необходимо ввести имя пользователя, под которым мы хотим аутентифицироваться:
Выберем место, куда сохранить файл с заявкой.
Созданную заявку копируем и отправляем на сервер. Распечатать ее можно , например, с помощью команды:
| Code Block | ||||
|---|---|---|---|---|
| ||||
cat cert.csr |
...
Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя, и на .
На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окне вставляем нашу заявку.
В графе идентификатор пользователя необходимо будет указать caIPAserviceCert
Выданный сертификат можно получить в на этой же вкладке, переместившись чуть ниже до пункта с сертификатами. Нажмём
Нажмем на вкладку "Загрузить" и отправим сертификат пользователю.
Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".
Выбираем самый первый сертификат и нажимаем на вкладку "Действия"→ "Загрузить".
После этого полученный сертификат пользователя и УЦ отправляем клиенту.
...
После получения сертификата пользователя и УЦ, вставим подключим токен и запустим скрипт.
| Code Block | ||||
|---|---|---|---|---|
| ||||
bash ./setup.sh |
На этот раз выбираем вторую вкладку в разделе меню.
В следующем окне выбираем импортировать ли сертификат на токен или нет. Если сертификат уже загружен на токен, то выберете "Сертификат пользователя уже есть на Рутокене".
Если мы выбрали импорт сертификата, то в следующем окне указываем путь до сертификата пользователя:
В следующем окне необходимо указать идентификатор ключа, для которого был выписан сертификат. Вы его должны были запомнить после первого запуска скрипта setup.sh.
В следующем разделе указываем путь до сертификата УЦ.
Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.
Лампочка на токене замигает и отобразится окно для ввода PIN-кода.
Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.
