Портал документации Рутокен

Page tree

Versions Compared

Old Version 2

changes.mady.by.user Михалицын Петр

Saved on

compared with

New Version Current

changes.mady.by.user Осьминина Анастасия

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Astra Linux, РЕД ОС, ALT Linux, ROSA Linux, Ubuntu, AlterOS

Для упрощения процесса настройки локальной аутентификации по токену был создан скрипт. Установить его Рутокену можно воспользоваться графической утилитой. Загрузить ее можно с помощью следующей последовательности команд:

Code Block
languagebash
titleЗагрузка скрипта
# Загрузка
# для red os
sudo yum update
sudo yum install git

# для alteros
sudo yum update
sudo yum install git openssl-pkcs11

# для astra и alt linux
sudo apt-get update
sudo apt-get install git

# для rosa
sudo urpmi --auto-update
sudo urpmi git

# далее загружаем репозиторий с настройщиком
git clone https://github.com/AktivCo/rutoken-linux-2fagui-tuner
cd astra-linux-2fa-tuner

...

manager --recursive
Warning

Если у вас в ОС установлен OpenSSL 3.х, необходимо обновить библиотеку libp11.

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
titleЗапуск скрипта
bash ./setup.sh

Вероятно, при первом запуске, вас попросят установить engine_pkcs11 и libp11. Их можно скачать отсюда

Image Removed

$ sudo apt-get install automake autoconf libssl-dev pkgconf gcc git libtool
$ git clone https://github.com/OpenSC/libp11.git
$ cd libp11
$ autoreconf -i
$ ./configure && make && sudo make install
$ sudo mv /usr/lib/x86_64-linux-gnu/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3_orig
$ sudo ln -s /usr/local/lib/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3


После того, как настройщик был загружен, его можно запустить двойным щелчком по token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

Image Added

Warning

В некоторых ОС может автоматически не устанавливаться пакет tkinter. Попробуйте установить его вручную, выполнив в консоли команду

...

:

Code Block
languagebash
titleустановка пакетов
sudo rpm -i /path/to/engine_pkcs11 /path/to/libp11

После запуска вам будет предложено выбрать сертификат, который вы хотите использовать для аутентификации

Image Removed

Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.

Создание нового сертификата

При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать, создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.

Image Removed

При создании самоподписанного сертификата, то можно перейти сразу к финальной настройке.

Импорт сертификата на токен

Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, котоый нужно запомнить

Image Removed

Эту заявку отправьте вашему УЦ и в случае ее одобрения, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортирвтаь на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh

Code Block
languagebash
titleЭкспорт сертификата
bash ./import_cert_to_token.sh

Из всех предложенных ключей, выберете тот, для которого создавался сертификат:

Image Removed

Далее укажите путь, до полученного сертификата:

Image Removed

После того как сертификат был импортирован, снова запускаем скрипт setup.sh. И выбираем идентификатор импортированного сертификата:

Image Removed

Финальная настройка

Несколько раз нажмите на Enter до тех пор, пока вас не запросят вветси пароль от токена

Image Removed

# для astra и alt linux
sudo apt-get install python3-tkinter

# для red os

sudo yum install python3-tkinter

Так же могут встречаться названия пакетов python3-tk, python34-tkinter.

После загрузки обновлений, программа предложит выбрать устройство, которое мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу для обновления списка Рутокенов:

Image Added

Далее вводим PIN-код Рутокена:

Image Added

Откроем список объектов на Рутокене:

Image Added

Если сертификат и ключевая пара отсутствуют на Рутокене:

В первую очередь сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию генерации ключевой пары:

Image Added

В окне для выбора алгоритма ключа необходимо указать "RSA-2048".

Image Added


Метку ключа можно оставить пустой:

Image Added

Если ключевая пара присутствует на Рутокене, но сертификата нет:

В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:

Image Added

В открывшемся окне выберем опцию создания заявки на сертификат:

Image Added

Введем данные сертификата:

Image Added

Далее выберем какой сертификат нужно создать (самоподписанный сертификат, заявку на сертификат):

Image Added

В случае создания самоподписанного сертификата, он будет автоматически импортирован на Рутокен  и следующий раздел в инструкции можно пропустить.

Если же мы выбрали пункт для создания заявки на сертификат, то данную заявку потребуется сохранить в файловой системе:

Image Added


Заявку в дальнейшем следует отправить в ваш УЦ, для получения сертификата.

Импорт выданного сертификата для ключевой пары на Рутокен:

В окне для просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

Image Added


В открывшемся окне выберем опцию импорта сертификата ключа.

Image Added

Укажем путь до сертификата:

Image Added

При желании можно задать метку сертификата:

Image Added

Сертификат для аутентификации уже присутствует на Рутокене

Если нужный сертификат уже присутствует на Рутокене, то щелкаем два раза мышью по нему:

Image Added


И выбираем пункт для настройки локальной аутентификации:

Image Added


Для данной опции система может ещё раз проверить наличие прав суперпользователя:

Image Added

Выберем пользователя, для которого хотим произвести настройку.

Image Added

Если настройка прошла успешно, то утилита уведомит вас об этом:

Image Added


Чтобы проверить результат проверкиДля того чтобы проверить, что настройка прошла успешно, выполните команду:

Code Block
languagebash
titleПроверка
su $USER


Токен должен замигать и появиться Лампочка на токене начнет мигать и отобразится предложение с вводом пароляPIN-кода:

Image RemovedImage Added


После этого, проверку можно произвести через Greeter:

Image RemovedImage Added


Помимо настройки входа с помощью токенаРутокена, автоматически была настроена автоблокировка при извлечении токенаустройства. Ее можно проверить с помощью извлечения токена.Рутокена.

Warning

Если вы используете Ubuntu 22.04 LTS и новее, то необходимо включить автоматический старт службы смарт-карт

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
$ sudo systemctl enable pcscd
$ sudo systemctl enable pcscd.socket