Pkcs11-profiles: различия между версиями

Материал из ALT Linux Wiki
м (Информация о пакете)
(+ Базовый набор параметров)
 
(не показана 1 промежуточная версия этого же участника)
Строка 16: Строка 16:


Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).
== Базовый набор параметров ==
По команде {{cmd|control pam-pkcs11-param-set default}} устанавливаются следующие параметры процедуры аутентификации:
# публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории {{path|/etc/security/pam_pkcs11/cacerts}} ('''Внимание!''' Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства {{cmd|verify(1)}});
# файлы с информацией об отозванных сертификатах размещаются в директории {{path|/etc/security/pam_pkcs11/crls}};
# для идентификации пользователя, его публичный сертификат должен быть помещён в директорию {{path|$HOME/.eid/}}, либо же будет проверен {{path|$HOME/.ssh/authorized_keys}}.


== Дополнительные материалы по теме ==
== Дополнительные материалы по теме ==
Строка 22: Строка 30:
* [[lightdm-gtk-greeter-pd]]
* [[lightdm-gtk-greeter-pd]]
* [[Двухфакторная аутентификация]]
* [[Двухфакторная аутентификация]]
* [[Аутентификация по ключу]]
* [[alterator-auth-token]]


[[Категория:Пакеты]]
[[Категория:Пакеты]]

Текущая версия от 20:57, 22 августа 2018

Управляет конфигурацией pam_pkcs11 с помощью профилей — конфигурационных файлов, содержащих определённое подмножество параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.

Подробнее о профилях см. lightdm-profiles.

Информация о пакете: packages.altlinux.org, sisyphus.ru.

Управление конфигурацией

Управление профилями производится командами control pam-pkcs11-profile, control pam-pkcs11-param-set, control pam-pkcs11-messages, а также дополнительными командами control pam-pkcs11-module и control pam-pkcs11-mapping. Профили располагаются в директории /etc/security/pam_pkcs11. Разделение команд принято следующее:

  • control pam-pkcs11-profile отвечает за настройку pam_pkcs11 на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);
  • control pam-pkcs11-param-set задаёт определённый вариант поведения pam_pkcs11, который от железа не зависит;
  • control pam-pkcs11-messages определяет набор выводимых пользователю сообщений.

Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации pam_pkcs11.

Дополнительная команда control pam-pkcs11-module служит для переключения модуля PKCS#11 и вызывается автоматически при работе control pam-pkcs11-profile, а команда control pam-pkcs11-mapping позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью control pam-pkcs11-param-set).

Базовый набор параметров

По команде control pam-pkcs11-param-set default устанавливаются следующие параметры процедуры аутентификации:

  1. публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории /etc/security/pam_pkcs11/cacerts (Внимание! Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства verify(1));
  2. файлы с информацией об отозванных сертификатах размещаются в директории /etc/security/pam_pkcs11/crls;
  3. для идентификации пользователя, его публичный сертификат должен быть помещён в директорию $HOME/.eid/, либо же будет проверен $HOME/.ssh/authorized_keys.

Дополнительные материалы по теме