Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Astra Linux, РЕД ОС, ALT Linux, ROSA Linux, Ubuntu, AlterOS

Для упрощения процесса настройки локальной аутентификации по токену был создан скрипт. Установить его Рутокену можно воспользоваться графической утилитой. Загрузить ее можно с помощью следующей последовательности команд:

Code Block
languagebash
titleЗагрузка скрипта
# для red os
sudo yum update
sudo yum install git

# для alteros
sudo yum update
sudo yum install git openssl-pkcs11

# для astra и alt linux
sudo apt-get update
sudo apt-get install git

# для rosa
sudo urpmi --auto-update
sudo urpmi git

# далее загружаем репозиторий с настройщиком
git clone https://github.com/AktivCo/rutoken-linux-gui-local-user-2fa-tuner
cd linux-local-user-2fa-tunermanager --recursive
Warning

Если у вас в ОС установлен OpenSSL 3.х, необходимо обновить библиотеку libp11.

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
$ sudo apt-get install automake autoconf libssl-dev pkgconf gcc git libtool
$ git clone https://github.com/OpenSC/libp11.git
$ cd libp11
$ autoreconf -i
$ ./configure && make && sudo make install
$ sudo mv /usr/lib/x86_64-linux-gnu/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3_orig
$ sudo ln -s /usr/local/lib/libp11.so.3 /usr/lib/x86_64-linux-gnu/libp11.so.3


После того, как скрипт был установлен, необходимо подключить токен и запустить егонастройщик был загружен, его можно запустить двойным щелчком по token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

Image Added

...

Warning

В некоторых ОС может автоматически не устанавливаться пакет tkinter. Попробуйте установить его вручную, выполнив в консоли команду:

Code Block
languagebash
titleЗапуск скрипта
bash ./setup.sh

После запуска будет предложено выбрать сертификат, который вы хотите использовать для аутентификации.

Image Removed

Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.

Создание нового сертификата

При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать, создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.

Image Removed

При создании самоподписанного сертификата, можно сразу перейти к финальной настройке.

Импорт сертификата на токен

Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, который нужно запомнить.

Image Removed

Эту заявку отправьте в ваш УЦ и если её одобрят, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортировать на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh

Code Block
languagebash
titleЭкспорт сертификата
bash ./import_cert_to_token.sh

Из всех предложенных ключей, выберете тот, для которого создавался сертификат:

Image Removed

Далее укажите путь до полученного сертификата:

Image Removed

После того как сертификат был импортирован, снова запускаем скрипт setup.sh. Выбираем идентификатор импортированного сертификата:

Image Removed

В последующем окне указываем имя пользователя для которого хотим задать аутентфиикацию по данному сертификату

Image Removed

Info
titleИнформация для Astra Linux

Для пользователей Astra Linux также появится отдельное окно, в котором нужно будет выбрать модуль для аутентификации, укажите Pam_p11

Image Removed

Финальная настройка

Несколько раз нажмите клавишу ENTER до тех пор, пока на экране не отобразится сообщение с запросом ввести PIN-код токена.

Image Removed

# для astra и alt linux
sudo apt-get install python3-tkinter

# для red os

sudo yum install python3-tkinter

Так же могут встречаться названия пакетов python3-tk, python34-tkinter.

После загрузки обновлений, программа предложит выбрать устройство, которое мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу для обновления списка Рутокенов:

Image Added

Далее вводим PIN-код Рутокена:

Image Added

Откроем список объектов на Рутокене:

Image Added

Если сертификат и ключевая пара отсутствуют на Рутокене:

В первую очередь сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию генерации ключевой пары:

Image Added

В окне для выбора алгоритма ключа необходимо указать "RSA-2048".

Image Added


Метку ключа можно оставить пустой:

Image Added

Если ключевая пара присутствует на Рутокене, но сертификата нет:

В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:

Image Added

В открывшемся окне выберем опцию создания заявки на сертификат:

Image Added

Введем данные сертификата:

Image Added

Далее выберем какой сертификат нужно создать (самоподписанный сертификат, заявку на сертификат):

Image Added

В случае создания самоподписанного сертификата, он будет автоматически импортирован на Рутокен  и следующий раздел в инструкции можно пропустить.

Если же мы выбрали пункт для создания заявки на сертификат, то данную заявку потребуется сохранить в файловой системе:

Image Added


Заявку в дальнейшем следует отправить в ваш УЦ, для получения сертификата.

Импорт выданного сертификата для ключевой пары на Рутокен:

В окне для просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

Image Added


В открывшемся окне выберем опцию импорта сертификата ключа.

Image Added

Укажем путь до сертификата:

Image Added

При желании можно задать метку сертификата:

Image Added

Сертификат для аутентификации уже присутствует на Рутокене

Если нужный сертификат уже присутствует на Рутокене, то щелкаем два раза мышью по нему:

Image Added


И выбираем пункт для настройки локальной аутентификации:

Image Added


Для данной опции система может ещё раз проверить наличие прав суперпользователя:

Image Added

Выберем пользователя, для которого хотим произвести настройку.

Image Added

Если настройка прошла успешно, то утилита уведомит вас об этом:

Image Added


Чтобы проверить результат проверки, выполните команду:

Code Block
languagebash
titleПроверка
su $USER

...

Лампочка на токене начнет мигать и отобразится предложение с вводом PIN-кода:

Image RemovedImage Added


После этого, проверку можно произвести через Greeter:

Image RemovedImage Added


Помимо настройки входа с помощью токенаРутокена, автоматически была настроена автоблокировка при извлечении токенаустройства. Ее можно проверить с помощью извлечения токена.Рутокена.

Warning

Если вы используете Ubuntu 22.04 LTS, то необходимо включить автоматический старт службы смарт-карт

Для этого необходимо выполнить следующие действия: 

Code Block
languagebash
$ sudo systemctl enable pcscd
$ sudo systemctl enable pcscd.socket