Info | ||
---|---|---|
| ||
Настройка двухфакторной аутентификации в домене Astra Linux Directory |
Table of Contents | ||
---|---|---|
|
...
- https://help.ubuntu.com/community/Kerberoshttps://help.ubuntu.com/10.04/serverguide/kerberos.html
- По аутентификации с использованием сертификатов здесь: http://k5wiki.kerberos.org/wiki/Pkinit_configuration
...
Убедитесь, что используете: Aktiv Rutoken ECP
...
Стенд
- две виртуальные машины с Ubuntu 12.10 x86две виртуальные машины с Astra Linux 1.3 x64
Note |
---|
Важно: время на клиенте и сервере должно быть синхронизировано. Невыполнение этого требования может привести к возникновению проблем. |
...
<username> = testuser
<realm> = AKTIV-TEST
<server> = aktiv-test.ru
...
- Установлены
krb5-user, krb5-config, krb5-pkinit
- default realm:
AKTIV-TEST
- сервера (kdc, admin) указаны по IP-адресу (лучше указать их в /etc/hosts)
Astra Linux 1.3 Смоленск
<username> = test1
<realm> = RUSBITECH.RU
<server> = server.rusbitech.ru
Клиент
Установлены стандартные пакеты для работы с токенами (openct, opensc
)
Сервер и клиент
- Kerberos realm: RUSBITECH.RU, доменное имя
server.rusbitech.ru
(прописано в /etc/hosts на клиенте) - Пользователи:
test1@RUSBITECH.RU
Добавочно к предустановленным пакетам ald/kerberos установлен krb5-pkinit (krb5-pkinit_1.10.1+dfsg-3_amd64.deb, Debian Wheezy):
Code Block | ||
---|---|---|
| ||
$ dpkg -i --force-depends krb5-pkinit_1.10.1+dfsg-3_amd64.deb |
Общий порядок действий
1.
...
Установить пакеты и создать новый realm
Для Astra Linux достаточно только установить krb5-pkinit
1.1 Сервер
Code Block | ||
---|---|---|
| ||
$ sudo apt-get install krb5-kdc krb5-admin-server krb5-pkinit # В диалогах указать: # realm = AKTIV-TEST # домен = aktiv-test.ru $ sudo krb5_newrealm # ввести пароль |
...
Code Block | ||
---|---|---|
| ||
[domain_realm] .aktiv-test.ru = AKTIV-TEST aktiv-test.ru = AKTIV-TEST |
2.
...
Завести на сервере нового пользователя с помощью kadmin.local
Code Block | ||
---|---|---|
| ||
$ sudo kadmin.local # username = testuser # password = test kadmin.local:$ addprinc <username> # ... kadmin.local:$ quit |
...
5.1.4 Включить preauth на сервере.Astra Linux: надо просто переписать секцию kdcdefaults из примера ниже:
Code Block | ||||||
---|---|---|---|---|---|---|
| ||||||
[kdcdefaults]
kdc_tcp_ports = 88
pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem
[realms]
AKTIV-TEST = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
} |
...