Портал документации Рутокен

Page tree

Versions Compared

Old Version 13

changes.mady.by.user Кийко Алексей

Saved on

compared with

New Version 14

changes.mady.by.user Кийко Алексей

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

sudo rpm -i librtpkcs11ecp-2X.7X.1X.0X-1X.x86_64.rpm

Установка pam_pkcs11

...

Для конфигурации pam_pkcs11 создайте папки /etc/pam_pkcs11/crls и /etc/pam_pkcs11/cacerts

sudo mkdir /etc/pam_pkcs11
sudo mkdir /etc/pam_pkcs11/crls
sudo mkdir /etc/pam_pkcs11/cacerts


После установки необходимых пакетов, вы можете воспользоваться

...

графической утилитой для работы с Рутокенами в Linux для упрощённой настройки.

Создание ключей и сертификатов

...

pam_pkcs11 {
  nullok = false;
  debug = false;
  use_first_pass = false;
  use_authtok = false;
  card_only = false;
  wait_for_card = false;
  use_pkcs11_module = rutokenecp;
 
  # Aktiv Rutoken ECP
  pkcs11_module rutokenecp {
    module = /usr/lib64/librtpkcs11ecp.so;
    slot_num = 0;
    support_thread = true;
    ca_dir = /etc/pam_pkcs11/cacerts;
    crl_dir = /etc/pam_pkcs11/crls;
    cert_policy = signature;
  }
 
  use_mappers = digest;
 
  mapper_search_path = /usr/lib64/pam_pkcs11;
 
  mapper digest {
   debug = false;
   module = internal;
   algorithm = "sha1";
   mapfile = file:///etc/pam_pkcs11/digest_mapping;
  }
 
}


Регистрация модуля PAM PKCS11 для аутентификации в системе 

Подключите модуль к системе авторизации PAM:

...

В результате отобразится сообщение:

[user@fedora ~]$ sudo pkcs11_inspect
PIN for token:

...

 
Printing data for mapper digest:
CB:13:CA:34:AC:04:CD:BF:A6:17:29:2F:C8:00:6A:D5:54:B8:0B:BB

Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/digest_mapping в формате:

<вывод команды pkcs11_inspect> -> <имя_пользователя>

...

Пример заполнения файла:

[user@fedora ~]$ sudo cat /etc/pam_pkcs11/digest_mapping 
CB:13:CA:34:AC:04:CD:BF:A6:17:29:2F:C8:00:6A:D5:54:B8:0B:BB -> user

Попробуйте аутентифицироваться:

su <username>

...

Терминал должен запросить PIN код рутокена:

[user@fedora ~]$ su user
Smart card found.
Добро пожаловать Rutoken ECP <no label>!
Smart card PIN: 
verifying certificate
Checking signature
[user@fedora ~]$ 

В окне экрана приветствия аналогично:

...

Для этого создайте папку ~/.config/autostart. И в данной директории создайте файл ~/.config/autostart/smartcard-screensaver.desktop

sudo mkdir ~/.config/autostart

sudo nano ~/.config/autostart/smartcard-screensaver.desktop

Содержание файла smartcard-screensaver.desktop должно быть следующим:

...