Аутентификация по ключу: различия между версиями
м (+ ссылка на alterator-auth-token) |
мНет описания правки |
||
Строка 1: | Строка 1: | ||
{{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}} | {{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}} | ||
== Настройка аутентификации с помощью профилей == | == Настройка аутентификации с помощью профилей == |
Версия от 17:38, 9 ноября 2017
Настройка аутентификации с помощью профилей
Новая версия пакета pam_pkcs11 (≥ 0.6.9-alt5) поддерживает настройку с использованием профилей. Список доступных профилей выводится по команде
control pam-pkcs11-profile list
На сегодняшний день подготовлен профиль для аутентификации через токены RuToken ECP. Он станет доступен после установки пакета pkcs11-profiles-rutokenecp. Применить его можно командой
control pam-pkcs11-profile rutokenecp
Применение профиля относится только к конфигурации модуля pam_pkcs11
, но оставляет без изменения системный механизм аутентификации. Поэтому следом нужно выбрать системный механизм аутентификации, основанный на pam_pkcs11
. Например, команда
control system-auth pkcs11_strict
установит такой механизм аутентификации, при котором только пользователи из группы wheel
(т.е. администраторы) имеют возможность входа в систему без токена, по паролю.
Что входит в профиль rutokenecp
?
Профиль не только настраивает pam_pkcs11
для работы с RuToken ECP, но также выбирает следующие умолчания для процедуры аутентификации:
- публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории
/etc/security/pam_pkcs11/cacerts
(Внимание! Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководстваverify(1)
); - файлы с информацией об отозванных сертификатах размещаются в директории
/etc/security/pam_pkcs11/crls
; - публичный сертификат пользователя должен быть помещён в его домашнюю директорию
$HOME/.eid/
.
Дополнительные инструменты
Пакет card-actions предоставляет вариант скрипта /usr/bin/card-removed
, который блокирует пользовательский сеанс, если токен был извлечён. (Другие варианты могут предоставляться другими пакетами через механизм альтернатив.) Активировать эту полезную команду, можно командами
control pkcs11-events card_actions systemctl start pkcs11-eventmgr
в результате чего будут внесены необходимые изменения в файл /etc/security/pam_pkcs11/pkcs11_eventmgr.conf
и включена служба pkcs11-eventmgr
по наблюдению за токенами.
Настройка аутентификации с одновременным созданием пользователей
Установите или обновите следующие пакеты: pam_pkcs11, pam_mkuser, lightdm, lightdm-gtk-greeter, card-actions.
Введите следующие команды для переключения конфигурационных параметров:
control lightdm-login-unknown enabled
control pam_mkuser enabled
control pam-pkcs11-mapping snils_scrambled
Перезапустите менеджер экрана командой systemctl restart lightdm
. После вставки токена в разъём будет выведено автоматически сгенерированное имя пользователя и приглашение для ввода PIN-кода.
При необходимости, соответствие между автоматически сгенерированное именами и системными можно определить при помощи специального файла. Его имя затем нужно передать в качестве значения параметра mapping
в подразделе mapper generic
конфигурационного файла pam_pkcs11.conf(5)
.
Узнать автоматически сгенерированное имя до входа в систему можно введя команду pklogin_finder
.