Общая информация

Данная инструкция описывает настройку подключения с клиентского ПК (Клиент) по SHH по токену к промежуточному серверу (Сервер 1) с последующим подключением по SSH по токену к конечному серверу (Сервер 2) в этой же сессии. Токен на Сервере 1 работает благодаря пробросу сокета pcscd с Клиента на Сервер 1.

Ниже приведен пример настройки такого подключения между клиентом Astra Linux и двумя серверами Astra Linux. 

Параметры окружения

Клиент: 

Сервер 1 (промежуточный): 

Сервер 2 (конечный):

Настройка подключения

Настройка проходит в несколько этапов: генерация ключей на токене, настройка клиентского ПК, настройка Сервера 1, настройка Сервера 2, перенаправление сокета pcscd на Сервер 1, подключение к Серверу 2.

Генерация ключей

  1. Обновите установленные пакеты:

    sudo apt update
    sudo apt dist-upgrade

  2. Установите библиотеку rtPKCS11ECP для своего дистрибутива из Центра загрузки Рутокен.

  3. Сгенерируйте ключевую пару на Рутокене:

    pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id <id>

    В значении опции --id задайте произвольный ID ключа (например, 45).

  4. Сконвертируйте в формат SSH открытый ключ на Рутокене:

    ssh-keygen -D /usr/lib/librtpkcs11ecp.so -I <slot>:<id> >> key.pub

Настройка Клиента

  1. Установите openssh-client:

    sudo apt-get install openssh-client

  2. Установите библиотеку rtPKCS11ECP для своего дистрибутива из Центра загрузки Рутокен

Настройка Сервера 1

  1. Установите openssh-server:

    sudo apt-get install openssh-server

  2. Перейдите в каталог ~/.ssh на сервере.
  3. Скопируйте содержимое файла key.pub, полученного в шаге 4 этапа Генерация ключей, в файл ~/.ssh/authorized_keys. Если такого файла нет, его нужно создать.
  4. Измените права доступа к файлу:

    chmod 0600 ~/.ssh/authorized_keys

Настройка Сервера 2

Для настройки Сервера 2 повторите шаги настройки Сервера 1.

Перенаправление сокета pcscd на Сервер 1

  1.  C помощью SSH перенаправьте сокет pcscd на Сервер 1:
    ssh -R /путь/к/.pcscd.comm:/var/run/pcscd/pcscd.comm -I /usr/lib/librtpkcs11ecp.so <user>@<server_address>
  2. Настройте переменную окружения PCSCLITE_CSOCK_NAME, чтобы указать программе, какой сокет использовать для взаимодействия с pcscd:
    export PCSCLITE_CSOCK_NAME=/путь/к/.pcscd.comm

Подключение к Серверу 2

Работа с Рутокеном будет доступна только в той сессии и через ту консоль, через которую осуществлялся проброс сокета pcscd в предыдущем этапе.

Подключитесь по SSH с Сервера 1 к Серверу 2 с помощью Рутокена:

 ssh -I /usr/lib/librtpkcs11ecp.so <user>@<server_address>

Завершение работы

Чтобы завершить сеанс SSH, закройте терминал или выполните команду exit.

После завершения работы нужно удалить файл .pcscd.comm с Сервера 1, а при необходимости повторить подключение — перенаправить сокет заново.

При попытке создания новой сессии со старым файлом .pcscd.comm Сервер 1 отобразит ошибку о том, что сервис не запущен или нет токена.