...
| Info | ||
|---|---|---|
| ||
При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду: sudo rm -r /etc/pki/nssdb/ Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не мешал помешал установке нового. |
Для Astra Linux Смоленск и РЕД ОС
...
После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого и будете настраивать будет настраиваться доступ по токенуРутокену.
Для этого перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавьте нового пользователя. В нашем случае был создан пользователь "user".
Настройка клиента. Подключение к домену
...
После подключения настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.
Попробуем подключиться к созданному пользователю user:
...
Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.
Настройка аутентификации по
...
Рутокену для клиента
Создание заявки на сертификат
...
После того, как настройщик был загружен, его можно запустить двойным щелчком по по названию файла token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.
...
После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на кнопку для обновления списка устройств:
Далее вводим PIN-код от код Рутокена:
...
На Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:
Генерация ключевой пары
Откроем список объектов на Рутокене:
В первую очередь, сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию для генерации ключевой пары:
В окне выбора алгоритма ключа необходимо указать "RSA-2048"
...
После генерации ключевой пары, необходимо создать для неё заявку на сертификат для нее. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:
...
В открывшемся окне выберем опцию для создания заявки на сертификат:
Заполним Введём данные сертификата. В графе общее Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации:
Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем "Нет":
...
Данную заявку в дальнейшем следует отправить в Ваш ваш УЦ, для выдачи сертификата:.
Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:
...
На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окне окно вставляем нашу заявку.
В графе идентификатор поле Идентификатор пользователя необходимо будет указать caIPAserviceCert
Выданный сертификат можно получить на этой же вкладке, переместившись чуть ниже до пункта с сертификатами.
Нажмем на вкладку "Загрузить" и отправим сертификат пользователю.
Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".
Выбираем самый первый сертификат и нажимаем переходим на вкладку "Действия"→ "Загрузить".
После этого полученный сертификат пользователя и УЦ отправляем клиенту.
...
Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим ПИНPIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:
...
Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента. То ? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт "Настройки доменной аутентификации "в домене FreeIPA.
Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:
В открывшемся окне окажем укажем путь до корневого сертификата УЦ:
Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.
Лампочка на токене Рутокене замигает и отобразится окно для ввода PIN-кода.
Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.
