Для упрощения настройки локальной аутентификации по токену был создан скрипт. Установить его можно с помощью следующей последовательности команд:
sudo yum update sudo yum install git git clone https://github.com/AktivCo/linux-2fa-tuner cd astra-linux-2fa-tuner
После того, как скрипт был установлен, необходимо вставить токен и запустить его
bash ./setup.sh
Вероятно, при первом запуске, вас попросят установить engine_pkcs11 и libp11. Их можно скачать отсюда
Устанавливаются они с помощью команд:
sudo rpm -i /path/to/engine_pkcs11 /path/to/libp11
После запуска вам будет предложено выбрать сертификат, который вы хотите использовать для аутентификации
Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.
Создание нового сертификата
При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать, создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.
При создании самоподписанного сертификата, то можно перейти сразу к финальной настройке.
Импорт сертификата на токен
Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, котоый нужно запомнить
Эту заявку отправьте вашему УЦ и в случае ее одобрения, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортирвтаь на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh
bash ./import_cert_to_token.sh
Из всех предложенных ключей, выберете тот, для которого создавался сертификат:
Далее укажите путь, до полученного сертификата:
После того как сертификат был импортирован, снова запускаем скрипт setup.sh. И выбираем идентификатор импортированного сертификата:
Финальная настройка
Несколько раз нажмите на Enter до тех пор, пока вас не запросят вветси пароль от токена
Для того чтобы проверить, что настройка прошла успешно, выполните команду:
su $USER
Токен должен замигать и появиться предложение с вводом пароля:
После этого, проверку можно произвести через Greeter:
Помимо настройки входа с помощью токена, автоматически была настроена автоблокировка при извлечении токена. Ее можно проверить с помощью извлечения токена.