При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду:

sudo rm -r  /etc/pki/nssdb/

Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не мешал установиться новому.

Для Astra Linux Смоленск и РЕД ОС

Доменная и клиентская машины не обязательно должны иметь одинаковую операционную систему для корректной аутентификации по смарт-картам. Но тем не менее, если версии SSSD – разные, как у Astra Linux (SSSD 16.1.3) и РЕД ОС (SSSD 2.0.0), то на доменной машине должна быть установлена ОС с более новой версией SSSD.

В обратную же сторону настройка домена возможна.

Настройка сервера. Создание домена FreeIPA и пользователя

Для демонстрации настройки было использовано два стенда. Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей последовательности команд:

# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После данного этапа потребуется перезагрузка

# установим пакет fly-admin-freeipa-server
sudo apt-get update
sudo apt-get install fly-admin-freeipa-server

# Запустим настройщик freeipa
sudo fly-admin-freeipa-server


# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После данного этапа потребуется перезагрузка

# установим пакет ipa-server
sudo yum update
sudo yum -y install bind bind-dyndb-ldap ipa-server*

# Запустим настройщик freeipa
sudo ipa-server-install --mkhomedir


После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого будете настраивать доступ по токену.

Для этого перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавьте нового пользователя. В нашем случае был создан пользователь "user".

 


Настройка клиента. Подключение к домену

Если в качестве клиента выступает Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.


После добавления нового пользователя, переходим к настройке клиента. Настройка была осуществлена с помощью следующих команд:

# Меняем имя клиента в нашем домене astradomain.ad на client
sudo hostnamectl set-hostname client.astradomain.ad

# После данного этапа потребуется перезагрузка

# отключаем соединение
sudo nmcli con down "Проводное соединение 1"

# настраиваем сетевую карту соединения - по умолчанию eth0
sudo nmcli con mod "Проводное соединение 1" connection.interface-name eth0

# настраиваем DNS - вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости указать адрес локального сервера DNS. В нашем случае в качестве DNS сервера выступал сам сервер FreeIPA. Поэтому был указан его IP адрес
sudo nmcli con mod "Проводное соединение 1" ipv4.dns "DNS_SERVER_IP 8.8.8.8"
sudo nmcli con mod "Проводное соединение 1" ipv4.ignore-auto-dns yes

# включаем сетевое соединение
sudo nmcli con up "Проводное соединение 1"


### Для Astra Linux
# устанавливаем графический клиент для подключения к домену
sudo apt-get update
sudo apt-get install fly-admin-freeipa-client

# подключаемся к домену через пользователя admin
sudo fly-admin-freeipa-client


### Для РЕД ОС
# устанавливаем графический клиент для подключения к домену
sudo yum update
sudo yum -y install ipa-client

# подключаемся к домену через пользователя admin
sudo ipa-client-install --mkhomedir --enable-dns-updates


После подключения, настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.


Попробуем подключиться к созданному пользователю user

su user


Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.


Настройка аутентификации по токену для клиента

Создание заявки на сертификат

Для упрощения настройки был создан скрипт, выполняющий все действия по настройке за вас. Скачаем его:

# для Astra linux
sudo apt-get install git
# для Ред ОС
sudo yum install git


git clone https://github.com/AktivCo/linux-domain-user-2fa-tuner
cd linux-domain-user-2fa-tuner


Вставим токен и запустим скрипт (запускать не из под рута! скрипт сам запрашивает пароль администратора, когда это потребуется):

bash ./setup.sh

После ввода пароля в первую очередь необходимо сгенерировать ключ на токене (или использовать существующий) и создать заявку (PKCS#10-запрос) на сертификат нашего ключа.

Выберем существующий ключ или создадим новый.


После генерации ключа на экране отобразится его идентификатор на токене.


После выбора ключа вам будет предложено ввести данные для заявки. Все эти данные являются опциональными, кроме "Общего имени". Туда необходимо ввести имя пользователя, под которым мы хотим аутентифицироваться:


Выберем место, куда сохранить файл с заявкой.


Созданную заявку копируем и отправляем на сервер. Распечатать ее можно, например, с помощью команды:

cat cert.csr


Создание сертификата

Переходим к серверу, который получил нашу заявку.

Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя, и на новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окне вставляем нашу заявку.

В графе идентификатор пользователя необходимо будет указать caIPAserviceCert

Выданный сертификат можно получить в этой же вкладке, переместившись чуть ниже до пункта с сертификатами.  Нажмём на вкладку "Загрузить" и отправим сертификат пользователю.


Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты". Выбираем самый первый сертификат и нажимаем на вкладку "Действия"→ "Загрузить".


После этого полученный сертификат пользователя и УЦ отправляем клиенту.

Финальная настройка на стороне клиента

После получения сертификата пользователя и УЦ, вставим токен и запустим скрипт.

bash ./setup.sh

На этот раз выбираем вторую вкладку в разделе меню.

В следующем окне выбираем импортировать ли сертификат на токен или нет. Если сертификат уже загружен на токен, то выберете "Сертификат пользователя уже есть на Рутокене"

Если мы выбрали импорт сертификата, то в следующем окне указываем путь до сертификата пользователя:


В следующем окне необходимо указать идентификатор ключа, для которого был выписан сертификат. Вы его должны были запомнить после первого запуска скрипта setup.sh.


В следующем разделе указываем путь до сертификата УЦ.


Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.

Лампочка на токене замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter