Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 5 Next »

Для упрощения настройки локальной аутентификации по токену был создан скрипт. Установить его можно с помощью следующей последовательности команд:

Загрузка скрипта
sudo yum update
sudo yum install git
git clone https://github.com/AktivCo/linux-local-user-2fa-tuner
cd linux-local-user-2fa-tuner


После того, как скрипт был установлен, необходимо вставить токен и запустить его

Запуск скрипта
bash ./setup.sh

Вероятно, при первом запуске, вас попросят установить engine_pkcs11 и libp11. Их можно скачать отсюда


Устанавливаются они с помощью команд:

установка пакетов
sudo rpm -i /path/to/engine_pkcs11 /path/to/libp11



После запуска вам будет предложено выбрать сертификат, который вы хотите использовать для аутентификации


Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.

Создание нового сертификата

При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать, создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.

При создании самоподписанного сертификата, то можно перейти сразу к финальной настройке.

Импорт сертификата на токен

Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, котоый нужно запомнить

Эту заявку отправьте вашему УЦ и в случае ее одобрения, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортирвтаь на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh

Экспорт сертификата
bash ./import_cert_to_token.sh

Из всех предложенных ключей, выберете тот, для которого создавался сертификат:


Далее укажите путь, до полученного сертификата:


После того как сертификат был импортирован, снова запускаем скрипт setup.sh. И выбираем идентификатор импортированного сертификата:

Финальная настройка

Несколько раз нажмите на Enter до тех пор, пока вас не запросят вветси пароль от токена


Для того чтобы проверить, что настройка прошла успешно, выполните команду:

Проверка
su $USER


Токен должен замигать и появиться предложение с вводом пароля:


После этого, проверку можно произвести через Greeter:


Помимо настройки входа с помощью токена, автоматически была настроена автоблокировка при извлечении токена. Ее можно проверить с помощью извлечения токена.




  • No labels