Pkcs11-profiles: различия между версиями

Текущая версия от 20:57, 22 августа 2018

Управляет конфигурацией pam_pkcs11 с помощью профилей — конфигурационных файлов, содержащих определённое подмножество параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.

Подробнее о профилях см. lightdm-profiles.

Информация о пакете: packages.altlinux.org, sisyphus.ru.

Управление конфигурацией

Управление профилями производится командами control pam-pkcs11-profile, control pam-pkcs11-param-set, control pam-pkcs11-messages, а также дополнительными командами control pam-pkcs11-module и control pam-pkcs11-mapping. Профили располагаются в директории /etc/security/pam_pkcs11. Разделение команд принято следующее:

control pam-pkcs11-profile отвечает за настройку pam_pkcs11 на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);
control pam-pkcs11-param-set задаёт определённый вариант поведения pam_pkcs11, который от железа не зависит;
control pam-pkcs11-messages определяет набор выводимых пользователю сообщений.

Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации pam_pkcs11.

Дополнительная команда control pam-pkcs11-module служит для переключения модуля PKCS#11 и вызывается автоматически при работе control pam-pkcs11-profile, а команда control pam-pkcs11-mapping позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью control pam-pkcs11-param-set).

Базовый набор параметров

По команде control pam-pkcs11-param-set default устанавливаются следующие параметры процедуры аутентификации:

публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории /etc/security/pam_pkcs11/cacerts (Внимание! Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства verify(1));
файлы с информацией об отозванных сертификатах размещаются в директории /etc/security/pam_pkcs11/crls;
для идентификации пользователя, его публичный сертификат должен быть помещён в директорию $HOME/.eid/, либо же будет проверен $HOME/.ssh/authorized_keys.

Дополнительные материалы по теме

@@ Строка 16: / Строка 16: @@
 Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).
+== Базовый набор параметров ==
+По команде {{cmd|control pam-pkcs11-param-set default}} устанавливаются следующие параметры процедуры аутентификации:
+# публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории {{path|/etc/security/pam_pkcs11/cacerts}} ('''Внимание!''' Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства {{cmd|verify(1)}});
+# файлы с информацией об отозванных сертификатах размещаются в директории {{path|/etc/security/pam_pkcs11/crls}};
+# для идентификации пользователя, его публичный сертификат должен быть помещён в директорию {{path|$HOME/.eid/}}, либо же будет проверен {{path|$HOME/.ssh/authorized_keys}}.
 == Дополнительные материалы по теме ==