Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Astra Linux, РЕД ОС, ALT Linux, ROSA Linux

...

titleДобавление поддержки своей ОС

...

, Ubuntu, AlterOS

Для упрощения процесса настройки локальной аутентификации по Рутокену был создан скрипт. Установить его можно воспользоваться графической утилитой. Загрузить ее можно с помощью следующей последовательности команд:

Code Block
languagebash
titleЗагрузка скрипта
# для red os
sudo yum update
sudo yum install git

# для alteros
sudo yum update
sudo yum install git openssl-pkcs11

# для astra и alt linux
sudo apt-get update
sudo apt-get install git

# для rosa
sudo urpmi --auto-update
sudo urpmi git

# далее загружаем репозиторий с настройщиком
git clone https://github.com/AktivCo/rutoken-linux-gui-manager -local-user-2fa-tuner
cd linux-local-user-2fa-tuner-recursive
Warning

Если у вас в ОС установлен OpenSSL 3.х, необходимо обновить библиотеку libp11.

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
$ sudo apt-get install automake autoconf libssl-dev pkgconf gcc git libtool
$ git clone https://github.com/OpenSC/libp11.git
$ cd libp11
$ autoreconf -i
$ ./configure && make && sudo make install
$ sudo mv /usr/lib/x86_64-linux-gnu/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3_orig
$ sudo ln -s /usr/local/lib/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3


После того, как скрипт был установлен, необходимо подключить токен и запустить егонастройщик был загружен, его можно запустить двойным щелчком по token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

Image Added

...

Warning

В некоторых ОС может автоматически не устанавливаться пакет tkinter. Попробуйте установить его вручную, выполнив в консоли команду:

Code Block
languagebash
titleЗапуск скрипта
bash ./setup.sh

После запуска будет предложено выбрать сертификат, который вы хотите использовать для аутентификации.

Image Removed

Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.

Создание нового сертификата

При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать, создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.

Image Removed

При создании самоподписанного сертификата, можно сразу перейти к финальной настройке.

Импорт сертификата на токен

Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, который нужно запомнить.

Image Removed

Эту заявку отправьте в ваш УЦ и если её одобрят, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортировать на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh

Code Block
languagebash
titleЭкспорт сертификата
bash ./import_cert_to_token.sh

Из всех предложенных ключей, выберете тот, для которого создавался сертификат:

Image Removed

Далее укажите путь до полученного сертификата:

Image Removed

После того как сертификат был импортирован, снова запускаем скрипт setup.sh. Выбираем идентификатор импортированного сертификата:

Image Removed

В последующем окне указываем имя пользователя для которого хотим задать аутентфиикацию по данному сертификату

Image Removed

Info
titleИнформация для Astra Linux

Для пользователей Astra Linux также появится отдельное окно, в котором нужно будет выбрать модуль для аутентификации, укажите Pam_p11

Image Removed

Финальная настройка

Несколько раз нажмите клавишу ENTER до тех пор, пока на экране не отобразится сообщение с запросом ввести PIN-код токена.

Image Removed

# для astra и alt linux
sudo apt-get install python3-tkinter

# для red os

sudo yum install python3-tkinter

Так же могут встречаться названия пакетов python3-tk, python34-tkinter.

После загрузки обновлений, программа предложит выбрать устройство, которое мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу для обновления списка Рутокенов:

Image Added

Далее вводим PIN-код Рутокена:

Image Added

Откроем список объектов на Рутокене:

Image Added

Если сертификат и ключевая пара отсутствуют на Рутокене:

В первую очередь сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию генерации ключевой пары:

Image Added

В окне для выбора алгоритма ключа необходимо указать "RSA-2048".

Image Added


Метку ключа можно оставить пустой:

Image Added

Если ключевая пара присутствует на Рутокене, но сертификата нет:

В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:

Image Added

В открывшемся окне выберем опцию создания заявки на сертификат:

Image Added

Введем данные сертификата:

Image Added

Далее выберем какой сертификат нужно создать (самоподписанный сертификат, заявку на сертификат):

Image Added

В случае создания самоподписанного сертификата, он будет автоматически импортирован на Рутокен  и следующий раздел в инструкции можно пропустить.

Если же мы выбрали пункт для создания заявки на сертификат, то данную заявку потребуется сохранить в файловой системе:

Image Added


Заявку в дальнейшем следует отправить в ваш УЦ, для получения сертификата.

Импорт выданного сертификата для ключевой пары на Рутокен:

В окне для просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

Image Added


В открывшемся окне выберем опцию импорта сертификата ключа.

Image Added

Укажем путь до сертификата:

Image Added

При желании можно задать метку сертификата:

Image Added

Сертификат для аутентификации уже присутствует на Рутокене

Если нужный сертификат уже присутствует на Рутокене, то щелкаем два раза мышью по нему:

Image Added


И выбираем пункт для настройки локальной аутентификации:

Image Added


Для данной опции система может ещё раз проверить наличие прав суперпользователя:

Image Added

Выберем пользователя, для которого хотим произвести настройку.

Image Added

Если настройка прошла успешно, то утилита уведомит вас об этом:

Image Added


Чтобы проверить результат проверки, выполните команду:

Code Block
languagebash
titleПроверка
su $USER

...

Лампочка на токене начнет мигать и отобразится предложение с вводом PIN-кода:

Image RemovedImage Added


После этого, проверку можно произвести через Greeter:

Image RemovedImage Added


Помимо настройки входа с помощью токенаРутокена, автоматически была настроена автоблокировка при извлечении токенаустройства. Ее можно проверить с помощью извлечения токена.Рутокена.

Warning

Если вы используете Ubuntu 22.04 LTS, то необходимо включить автоматический старт службы смарт-карт

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
$ sudo systemctl enable pcscd
$ sudo systemctl enable pcscd.socket