Pkcs11-profiles: различия между версиями
Manowar (обсуждение | вклад) м (Информация о пакете) |
Manowar (обсуждение | вклад) (+ Базовый набор параметров) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 3: | Строка 3: | ||
Подробнее о профилях см. [[lightdm-profiles]]. | Подробнее о профилях см. [[lightdm-profiles]]. | ||
Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru]. | '''Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru].''' | ||
== Управление конфигурацией == | == Управление конфигурацией == | ||
Строка 16: | Строка 16: | ||
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}). | Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}). | ||
== Базовый набор параметров == | |||
По команде {{cmd|control pam-pkcs11-param-set default}} устанавливаются следующие параметры процедуры аутентификации: | |||
# публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории {{path|/etc/security/pam_pkcs11/cacerts}} ('''Внимание!''' Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства {{cmd|verify(1)}}); | |||
# файлы с информацией об отозванных сертификатах размещаются в директории {{path|/etc/security/pam_pkcs11/crls}}; | |||
# для идентификации пользователя, его публичный сертификат должен быть помещён в директорию {{path|$HOME/.eid/}}, либо же будет проверен {{path|$HOME/.ssh/authorized_keys}}. | |||
== Дополнительные материалы по теме == | == Дополнительные материалы по теме == | ||
Строка 22: | Строка 30: | ||
* [[lightdm-gtk-greeter-pd]] | * [[lightdm-gtk-greeter-pd]] | ||
* [[Двухфакторная аутентификация]] | * [[Двухфакторная аутентификация]] | ||
* [[Аутентификация по ключу]] | |||
* [[alterator-auth-token]] | |||
[[Категория:Пакеты]] | [[Категория:Пакеты]] |
Текущая версия от 20:57, 22 августа 2018
Управляет конфигурацией pam_pkcs11 с помощью профилей — конфигурационных файлов, содержащих определённое подмножество параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.
Подробнее о профилях см. lightdm-profiles.
Информация о пакете: packages.altlinux.org, sisyphus.ru.
Управление конфигурацией
Управление профилями производится командами control pam-pkcs11-profile, control pam-pkcs11-param-set, control pam-pkcs11-messages, а также дополнительными командами control pam-pkcs11-module и control pam-pkcs11-mapping. Профили располагаются в директории /etc/security/pam_pkcs11. Разделение команд принято следующее:
- control pam-pkcs11-profile отвечает за настройку pam_pkcs11 на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);
- control pam-pkcs11-param-set задаёт определённый вариант поведения pam_pkcs11, который от железа не зависит;
- control pam-pkcs11-messages определяет набор выводимых пользователю сообщений.
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации pam_pkcs11.
Дополнительная команда control pam-pkcs11-module служит для переключения модуля PKCS#11 и вызывается автоматически при работе control pam-pkcs11-profile, а команда control pam-pkcs11-mapping позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью control pam-pkcs11-param-set).
Базовый набор параметров
По команде control pam-pkcs11-param-set default устанавливаются следующие параметры процедуры аутентификации:
- публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории /etc/security/pam_pkcs11/cacerts (Внимание! Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства verify(1));
- файлы с информацией об отозванных сертификатах размещаются в директории /etc/security/pam_pkcs11/crls;
- для идентификации пользователя, его публичный сертификат должен быть помещён в директорию $HOME/.eid/, либо же будет проверен $HOME/.ssh/authorized_keys.