Astra Linux, РЕД ОС

При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду:

sudo rm -r  /etc/pki/nssdb/

Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не помешал установке нового.


Настройка сервера AD

Описание настройки сервера Active Directory можно найти здесь


Настройка клиента для подключения к домену

Если в качестве клиента используется Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.

Настройка подключения к домену

Описание настройки клиента для подключения к домену можно найти здесь. Необходимо выполнить все действия по настройке клиента вплоть до "проверки аутентификации под пользователем в домене без Рутокена". Далее нужно будет перейти обратно к этой инструкции. 

Настройка аутентификации по Рутокену для клиента

Установка утилиты для работы с Рутокеном

Для упрощения настройки можно воспользоваться графической утилитой для работы с Рутокенами в Linux. Скачаем ее:

# для red os
sudo yum update
sudo yum install git
 
# для astra, alt linux и ubuntu
sudo apt-get update
sudo apt-get install git

git clone https://github.com/AktivCo/rutoken-linux-gui-manager --recursive


После того, как настройщик был загружен, его можно запустить двойным щелчком по названию файла token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на кнопку для обновления списка устройств:

Далее вводим PIN-код Рутокена:


Проверка наличия сертификата и ключевой пары клиента для аутентификации

Откроем список объектов на Рутокене:


На токене присутствуют ключевая пара и сертифиикат. Закрываем меню просмотра объектов.


Настройка аутентификации в домене AD

Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт Настроить аутентификацию в домене AD

Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:


В открывшемся окне укажем путь до корневого сертификата УЦ:


Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.

Лампочка на Рутокене замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter и лок скрин.

Для пользователей Astra Linux предложение ввода ПИН-кода не отображается. В поле ввода пароля просто введите ПИН-код от Рутокена: