Введение

В данной инструкции описывается, как настроить модуль pam_pkcs11 для работы с библиотекой librtpkcs11ecp.so.

Стенд

Нам понадобится токен или смарт-карта семейства Рутокен ЭЦП, отформатированные через Утилита администрирования Рутокен (rtadmin).

Настройки для токена и смарт-карты идентичны.

Проверка модели токена

Подключите USB-токен к компьютеру.
Для определения названия модели USB-токена откройте Терминал и введите команду:

$ lsusb

В результате в окне Терминала отобразится название модели USB-токена:

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_10-56-19.png

Убедитесь, что используете: Aktiv Rutoken ECP

Если вы используете смарт-карту Рутокен, то проверку проходить не требуется.

Общий порядок действий

Установка необходимых пакетов и их зависимостей

Для этого вы можете воспользоваться Терминалом:

$ su

# apt-get install opensc pam_pkcs11 pcsc-lite-ccid openssl-engine_pkcs11

Или из меню запустить Приложения - Системные - Программа управления пакетами Synaptic и используя быстрый поиск выбрать для установки пакеты:

opensc,
pam_pkcs11,
pcsc-lite-ccid,
openssl-engine_pkcs11.

Установка библиотеки PKCS#11 для вашей системы

Если установка завершилась корректно, то в папке /usr/lib (или /usr/lib64) появится библиотека librtpkcs11ecp.so.

Проверка работы токена или смарт-карты

Подключаем токен или смарт-карту к компьютеру. Запускаем dmesg и убедимся в том, что устройство определилось корректно.

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > 1.png

Для 32-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

Для 64-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T

Создание ключевой пары

Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации.

Рекомендуемая длина ключа RSA - не ниже 2048 бит.

Действуйте по основной инструкции, пропустив шаги 4-8.

Внимание! При выполнении команды запрашивается PIN-код пользователя. Генерация ключевой пары может занять некоторое время.

Для 32-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Для 64-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_11-42-34.png

Утилита pkcs11-tool входит в состав opensc.

Параметры, задаваемые в этой строке:

`--module <arg>`	путь к библиотеке pkcs11 (обязательный параметр)
`--keypairgen`	генерация ключевой пары
`-- key-type <arg>`	задает тип и длину ключа. В нашем случае тип – rsa, длина - 2048 бит (с длиной ключа 1024 бит возникают проблемы)
`-l`	запрос PIN-кода токена до каких-либо операций с ним (обязательный параметр)
`--id <arg>`	определяет id создаваемого объекта (понадобится при создании сертификата)

Создание сертификата в формате PEM

Запускаем openssl и подгружаем модуль поддержки pkcs11:

Для 32-битной версии используйте команду:

$ openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib64/openssl/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so

Для 64-битной версии используйте команду:

$ openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib64/openssl/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_11-9-28.png

Создаем сертификат в PEM-формате. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.

OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.pem -text

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_11-56-29.png

Здесь:

`-key`	указывает закрытый ключ (в нашем случае 0:45 – слот:ID ключа)
`-x509`	выдает самоподписанный сертификат

Конвертация сертификата из формата PEM в формат CRT (DER)

OpenSSL> x509 -in cert.pem -out cert.crt -outform DER

Сохранение сертификата на аутентифицирующий носитель

Закрываем openssl (используя команду exit). Cохраняем сертификат CRT на Рутокен. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.

Для 32-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45

Для 64-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l -y cert -w cert.crt --id 45

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_12-7-5.png

Здесь:

`-y <arg>`	тип объекта (может быть `cert, privkey, pubkey, data)`
`-w <arg>`	записать объект на токен

Проверка, что на токене есть всё, что необходимо

Внимание! При выполнении команды запрашивается PIN-код пользователя.

Для 32-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O -l

Для 64-битной версии используйте команду:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l

Включение аутентификации по внешнему носителю

Потребуются права суперпользователя:

$ su

Password:
#

# rm /etc/pam.d/system-auth
# ln -s /etc/pam.d/system-auth-pkcs11 /etc/pam.d/system-auth

на вопрос об удалении ссылки следует ответить "y"

Редактирование конфигурации аутентификации в системе

Отредактируем первую строку файла конфигурации /etc/pam.d/system-auth.

Внимание, приведенная ниже конфигурация является примером, а не эталоном настройки системы.

Для редактирования можно воспользоваться редактором pluma

# pluma /etc/pam.d/system-auth

Для 32-битной версии используйте строку:

auth [success=1 default=ignore] pam_pkcs11.so pkcs11_module=/usr/lib/librtpkcs11ecp.so

Для 64-битной версии используйте строку:

auth [success=1 default=ignore] pam_pkcs11.so pkcs11_module=/usr/lib64/librtpkcs11ecp.so

Редактирование конфигурации pam_pkcs11

Отредактируем файл /etc/security/pam_pkcs11/pam_pkcs11.conf

Внимание, приведенная ниже конфигурация является примером, а не эталоном настройки системы.

Для редактирования можно воспользоваться редактором pluma

# pluma /etc/security/pam_pkcs11/pam_pkcs11.conf

Для 32-битной версии используйте:

pam_pkcs11 {
  nullok = false;
  debug = false;
  use_first_pass = false;
  use_authtok = false;
  card_only = false;
  wait_for_card = false;
  use_pkcs11_module = rutokenecp;
 
  # Aktiv Rutoken ECP
  pkcs11_module rutokenecp {
    module = /usr/lib/librtpkcs11ecp.so
    slot_num = 0;
    support_thread = true;
    ca_dir = /etc/security/pam_pkcs11/cacerts;
    crl_dir = /etc/security/pam_pkcs11/crls;
    cert_policy = signature;
  }
 
  use_mappers = opensc;
  mapper_search_path = /lib/pam_pkcs11;
 
# Search certificates from $HOME/.eid/authorized_certificates to match users
mapper opensc {
debug = false;
module = /lib64/pam_pkcs11/opensc_mapper.so;
}
}

Для 64-битной версии замените строку

module = /usr/lib/librtpkcs11ecp.so на строку module = /usr/lib64/librtpkcs11ecp.so

и строку

mapper_search_path = /lib/pam_pkcs11; на строку mapper_search_path = /lib64/pam_pkcs11;

Добавление связки сертификата на токене с пользователем системы ALT Linux.

Добавляем сертификат в список доверенных сертификатов

$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates

Проверка настроек

Проверьте, что настройка была выполнена верно, используя команду login. Не завершайте свою сессию, пока не убедитесь в том, что все работает корректно.

Если команда login выполняется успешно, то вы можете завершать свою сессию и использовать аутентификацию по токенам и смарт-картам Rutoken.

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_10-53-30.png

В случае возникновения ошибок еще раз проверьте все настройки. Для выявления проблемы вы так же можете включить вывод дополнительной информации при аутентификации.

Для этого:

В файле pam_pkcs11.conf исправьте все строки вида "debug = false;", на строки "debug = true;".
В конец второй строки файла конфигурации /etc/pam.d/system-auth добавьте слово "debug".

Не забудьте отключить вывод дополнительной информации после настройки системы.

На этом настройка закончена. После перезапуска ОС окно входа в систему будет выглядеть так:

Портал документации Рутокен > Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП > image2020-1-15_10-51-15.png

Другие пользова!тели

При необходимости добавить вход по токену для других пользователей следует:

1) Настроить другие токены аналогичным образом. Это рекомендуемый способ, так как политика "один токен - один пользователь", является предпочтительной.

2) Выписать другую пару ключей и сертификат на тот же токен. (иногда бывает удобно для периодической работы из под суперпользователя)

В обоих случаях в файле subject_mapping должно оказаться две (или несколько) записей.