Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Обеспечение поддержки входа в macOS по токену или смарт-карте Рутокен

В качестве примера настраивается аутентификация для учетной записи user сертификатом Шавровой Ксении.

Tip

Инструкция применима к macOS версии 10.15 Catalina

Предварительная подготовка.

1. Для аутентификации в системе используется сертификат RSA (1024 бит или болеебольше), выписанный на токен Рутокен ЭЦП 2.0. 

Info

Обратите внимание, что в области применения сертификата должно быть также указано Цифровая подпись, Шифрование данных и Шифрование ключей.

Image Added

Также вам понадобится корневой сертификат (в виде .cer файла). Для аутентификации в OS X macOS может использоваться любое устройство данного семействаиз следующих устройств:

  • Рутокен ЭЦП 2.0
  • Рутокен ЭЦП PKI
  • Рутокен ЭЦП 2.021000 2100
  • Рутокен ЭЦП 2.0 3000
  • Смарт-карты Рутокен ЭЦП SC (
  • Смарт-карты )Рутокен ЭЦП 2.0
  • Рутокен ЭЦП 2.0 Bluetooth (при подключении по USB-кабелю)

2. На компьютере под управлением OS X должен быть установлен модуль поддержки Связки ключей (Keychain), который можно скачать с официального сайта по ссылке. Связку ключей (Keychain) можно найти в Программы/Утилиты (Applications/Utilities).

Warning

Начиная с macOS 10.15 Catalina "Связка был компанией Apple был изменен механизм работы с токенами. Теперь сертификаты с токенов в "Связке ключей (KeyChain)" больше не поддерживает механизм работы с токенами, сертификаты в ней больше видны не будут.
Для работы теперь достаточно установить специальную программу .

Настройка аутентификации

1. Установите на компьютер под управлением macOS программу "Рутокен для macOS"

...

.

После установки этой программы сертификаты с устройства Рутокен

...

смогут использоваться внутри

...

Настройка аутентификации

1. приложений, которые обновили механизм работы с токенами для macOS Catalina.

2. Перезагрузите компьютер

3. Подключите Рутокен с сертификатом

4. Операции по настройки аутентификации осуществляются будут производиться через "Терминал" (Terminal) который , его можно найти в "Программы"/"Утилиты" (Applications/Utilities).

Image RemovedImage RemovedImage RemovedImage RemovedImage Removed

Image Removed

Image Removed

Image Removed

Image Removed

5. Первоначально необходимо активировать возможность аутентификации по смарт-картам с помощью команды:

Code Block
sudo security authorizationdb smartcard enable

Image Added

В случае успешного выполнения, команда возвращает YES (0)

6. Далее нужно определить хэш сертификата:

Code Block
sc_auth identities

Будет выведен список сертификатов и соответствующих им хешей, в нашем случае он один:

Image Added

7. Свяжем пользователя с приватным ключом на токене по хешу сертификата, выполнив

Code Block
sudo sc_auth pair -u user -h hash

Где в качестве hash используется хеш сертификата, находящегося на токене. Его можно скопировать любым удобным способом из выдачи предыдущей команды. В качестве user нужно использовать имя вашего пользователя (в данном случае - user):

Image Added

Проверить корректность привязки можно с помощью команды:

Code Block
sc_auth list -u user

Команда должна вернуть указанный нами хеш.

8. Также необходимо сделать установку для пользователя _securityagent

Code Block
cd /Applications/Рутокен\ для\ macOS.app/Contents/PlugIns
sudo launchctl asuser _securityagent pluginkit -a "RutokenCTK.appex"

9. В "Связке ключей" (Keychain) необходимо разместить корневой сертификат в связке "Система" (System). Сделать это можно перетащив сертификат в окошко связки "Система".

Image Added

10. Для проверки корректности работы аутентификации извлечем токен Рутокен и перезагрузим систему.

Первоначально мы увидим стандартный запрос пароля, однако с подключением токена вместо "пароль" в окошке ввода появится "PIN".

Image Added



*Если аутентификация по смарт-карте невозможна после включения/перезагрузки, ознакомьтесь с инструкцией.