...
| Info | ||
|---|---|---|
| ||
При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду: sudo rm -r /etc/pki/nssdb/ Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не мешал установиться новомупомешал установке нового. |
Для Astra Linux Смоленск и РЕД ОС
...
После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого и будете настраивать будет настраиваться доступ по токенуРутокену.
Для этого перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавьте нового пользователя. В нашем случае был создан пользователь "user".
Настройка клиента. Подключение к домену
...
После подключения настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.
Попробуем подключиться к созданному пользователю user:
...
Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.
Настройка аутентификации по
...
Рутокену для клиента
Создание заявки на сертификат
...
| Code Block | ||||
|---|---|---|---|---|
| ||||
# для Astra red os sudo yum update sudo yum install git # для astra и alt linux sudo aptsudo apt-get install gitupdate sudo apt-get install git # для Ред ОС sudo yum installrosa sudo urpmi --auto-update sudo urpmi git git clone https://github.com/AktivCo/rutoken-linux-gui-manager --recursive |
...
После того, как настройщик был загружен, его можно запустить двойным щелчком по по названию файла token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.
...
После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу кнопку для обновления списка Рутокеновустройств:
Далее вводим PIN-код от код Рутокена:
...
На Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:
Генерация ключевой пары
Откроем список объектов на Рутокене:
...
В первую очередь, сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию для генерации ключевой пары:
В окне выбора алгоритма ключа необходимо указать "RSA-2048"
Метку ключа можно оставить пустой:
После генерации ключевой пары, необходимо создать для неё заявку на сертификат
...
. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:
В открывшемся окне выберем опцию для создания заявки на сертификат:
...
Введём данные сертификата. В графе
...
Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации:
Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем "Нет":
...
Укажем путь, куда сохраним заявку на сертификат:
Данную заявку в дальнейшем следует отправить в
...
ваш УЦ, для выдачи сертификата
...
.
Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:
...
На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окне окно вставляем нашу заявку.
В графе идентификатор поле Идентификатор пользователя необходимо будет указать caIPAserviceCert
Выданный сертификат можно получить на этой же вкладке, переместившись чуть ниже до пункта с сертификатами.
Нажмем на вкладку "Загрузить" и отправим сертификат пользователю.
Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".
Выбираем самый первый сертификат и нажимаем переходим на вкладку "Действия"→ "Загрузить".
После этого полученный сертификат пользователя и УЦ отправляем клиенту.
...
Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим ПИНPIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:
В открывшемся окне выберем опцию импорта сертификата ключа
...
Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента. То ? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт "Настройки доменной аутентификации "в домене FreeIPA.
Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:
В открывшемся окне окажем укажем путь до корневого сертификата УЦ:
Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.
Лампочка на токене Рутокене замигает и отобразится окно для ввода PIN-кода.
Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.
