1. Pages
2. …
3. Портал документации Рутокен
4. Рутокен для двухфакторной аутентификации
5. Linux
6. Упрощенная настройка аутентификации в домене FreeIPA с помощью Рутокен ЭЦП

Page History

Astra Linux, РЕД ОС, ROSA Linux

sudo rm -r  /etc/pki/nssdb/

Для Astra Linux Смоленск и РЕД ОС

Настройка сервера. Создание домена FreeIPA и пользователя

Для демонстрации настройки было использовано два стенда. На первом была установлена система Asta Linux Orel, и он Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей последовательности команд:

# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После данного этапа потребуется перезагрузка!

# установим пакет fly-admin-freeipa-server
sudo apt-get update
sudo apt-get install fly-admin-freeipa-server

# Запустим настройщик freeipa
sudo fly-admin-freeipa-server

# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После

...

 данного этапа потребуется перезагрузка

# установим пакет ipa-server
sudo yum update
sudo yum -y install bind bind-dyndb-ldap ipa-server*

# Запустим настройщик freeipa
sudo ipa-server-install --mkhomedir

После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Нам Вам потребуется создать нового пользователя, для которого мы и будем настраивать будет настраиваться доступ по токенуРутокену.

Для этого переходим перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавляем добавьте нового пользователя. В нашем случае был создан пользователь "user".

Image Removed Image Added

Настройка клиента. Подключение к домену

После добавления нового пользователя, переходим к настройке клиента. В качестве клиентского стенда был использован Astra Linux Smolensk с пятым обновлением безопасности. Настройка  Настройка была осуществлена с помощью следующих команд:

# Меняем имя клиента в нашем домене astradomain.ad на client
sudo hostnamectl set-hostname client.astradomain.ad

# После данного этапа потребуется перезагрузка!


# узнайте название вашего соединения. Они могут отличаться
CON_NAME="Проводное соединение 1"
# название интерфейса, которое использует ваше соединение
INT_NAME="eth0"
# адрес dns сервера
DNS_SERVER_IP=10.0.2.37
# отключаем соединение
sudo nmcli con down "Проводное соединение 1$CON_NAME"

# настраиваем сетевую карту соединения - по умолчанию eth0$INT_NAME
sudo nmcli con mod "Проводное соединение 1$CON_NAME" connection.interface-name eth0$INT_NAME

# настраиваем DNS - вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости указатьуказываем адрес локального сервера DNS. В нашем случае в качестве DNS сервера выступал сам сервер FreeIPA. Поэтому был указан его IP адрес
sudo nmcli con mod "Проводное соединение 1$CON_NAME" ipv4.dns "DNS$DNS_SERVER_IP 8.8.8.8"
sudo nmcli con mod "Проводное соединение 1$CON_NAME" ipv4.ignore-auto-dns yes

# включаем сетевое соединение
sudo nmcli con up "Проводное соединение 1"

$CON_NAME"


### Для Astra Linux
# устанавливаем графический клиент для подключения к домену
sudo apt-get update
sudo apt-get install fly-admin-freeipa-client

# подключаемся к домену через пользователя admin
sudo fly-admin-freeipa-client


### Для РЕД ОС
# устанавливаем графический клиент для подключения к домену
sudo yum update
sudo yum -y install ipa-client

### Для Rosa
# устанавливаем графический клиент для подключения к домену
sudo urpmi --auto-update
sudo urpmi ipa-client libini_config5 compiz ldb-utils

# подключаемся к домену через пользователя admin
sudo ipa-client-install --mkhomedir --enable-dns-updates

После подключения , настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.

Image RemovedImage Added

Попробуем подключиться к созданному пользователю user:

su user

...

Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.

Настройка аутентификации по

...

Рутокену для клиента

Создание заявки на сертификат

Для упрощения настройки был создан скрипт, выполняющий все действия по настройке за вас. Скачаем егоможно воспользоваться графической утилитой по работе с Рутокенами в линукс. Скачаем ее:

sudo apt-get install git
# для red os
sudo yum update
sudo yum install git
 
# для astra и alt linux
sudo apt-get update
sudo apt-get install git
 
# для rosa
sudo urpmi --auto-update
sudo urpmi git

git clone https://github.com/AktivCo/rutoken-linux-gui-2fa-domain-tuner.git
cd linux-2fa-domain-tuner

Вставим токен и запустим скрипт:

bash ./setup.sh

После ввода пароля в первую очередь необходимо сгенерировать ключ на токене (или использовать существующий) и создать заявку (PKCS#10-запрос) на сертификат нашего ключа.

Image Removed

Выберем существующий ключ или создадим новый.

Image Removed

После генерации ключа на экране отобразится его идентификатор на токене.

Image Removed

После выбора ключа вам будет предложено ввести данные для заявки. Все эти данные являются опциональными, кроме "Общего имени". Туда необходимо ввести имя пользователя, под которым мы хотим аутентифицироваться:

Image Removed

Выберем место, куда сохранить файл с заявкой.

Image Removed

manager --recursive

После того, как настройщик был загружен, его можно запустить двойным щелчком по названию файла token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

Image Added

После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на кнопку для обновления списка устройств:

Image Added

Далее вводим PIN-код Рутокена:

Image Added

На Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:

Генерация ключевой пары

Откроем список объектов на Рутокене:

Image Added

В первую очередь, сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию для генерации ключевой пары:

Image Added

В окне выбора алгоритма ключа необходимо указать "RSA-2048"

Image Added

Метку ключа можно оставить пустой:

Image Added

Создание заявки на сертификат

После генерации ключевой пары, необходимо создать для неё заявку на сертификат. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:

Image Added

В открывшемся окне выберем опцию для создания заявки на сертификат:

Image Added

Введём данные сертификата. В графе Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации: 

Image Added

Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем "Нет":

Image Added

Укажем путь, куда сохраним заявку на сертификат:

Image Added

Данную заявку в дальнейшем следует отправить в ваш УЦ, для выдачи сертификата.

Созданную заявку копируем и отправляем на сервер. Распечатать ее можно , например, с помощью команды:

cat cert.csr

Создание сертификата

Переходим к серверу, который получил нашу заявку.

Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя, и на .

На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшемся окне открывшееся окно вставляем нашу заявку.Image Removed

Image Added

В поле Идентификатор пользователя необходимо указать caIPAserviceCert

Image Added

Выданный сертификат можно получить в на этой же вкладке, промотав переместившись чуть ниже до пункта с сертификатами.  Нажмём на вкладку

Нажмем "Загрузить" и отправим сертификат пользователю.

Image RemovedImage Added

Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".

Выбираем самый первый сертификат и нажимаем переходим на вкладку "Действия"→ "Загрузить".

Image RemovedImage Added

После этого полученный сертификат пользователя и УЦ отправляем клиенту.

Финальная настройка на стороне клиента

После получения сертификата пользователя и УЦ, вставим токен и запустим скрипт.

bash ./setup.sh

но на этот раз выбираем вторую вкладку в разделе меню

Image Removed

В следующем окне указываем путь до сертификата пользователя:

Image Removed

В следующем окне необходимо указать идентификатор ключа, для которого был выписан сертификат. Вы его должны были запомнить после первого запуска скрипта setup.sh.

Image Removed

В следующем разделе указываем путь до сертификата УЦ.

...

Импорт сертификата на Рутокен

Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим PIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

Image Added

В открывшемся окне выберем опцию импорта сертификата ключа

Image Added

Укажем путь до сертификата:

Image Added

При желании можно задать метку сертификата:

Image Added

Финальная настройка на стороне клиента

Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт Настройки аутентификации в домене FreeIPA.

Image Added

Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:

Image Added

В открывшемся окне укажем путь до корневого сертификата УЦ:

Image Added

Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.

Image Removed

Токен должен был замигать и должно было появиться предложение ввести PIN-кодImage Added

Лампочка на Рутокене замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.

Image RemovedImage Added