...
Info | ||
---|---|---|
| ||
Если вашей ОС нет в списке, то вы можете реализовать ее поддержку самостоятельно. Подробности описаны в файле README.md, который находится в репозитории приложения: https://github.com/AktivCo/rutoken-linux-local-user-2fa-tunergui-manager |
Для упрощения процесса настройки локальной аутентификации по Рутокену был создан скрипт. Установить его можно воспользоваться графической утилитой. Загрузить ее можно с помощью следующей последовательности команд:
Code Block | ||||
---|---|---|---|---|
| ||||
# для red os sudo yum update sudo yum install git # для astra и alt linux sudo apt-get update sudo apt-get install git # для rosa sudo urpmi --auto-update sudo urpmi git # далее загружаем репозиторий с настройщиком git clone https://github.com/AktivCo/rutoken-linux-local-user-2fa-tunergui-manager --recursive cd linux-local-user-2fa-tuner |
После того, как скрипт был установлен, необходимо подключить токен и запустить его:
Code Block | ||||
---|---|---|---|---|
| ||||
bash ./setup.sh |
После запуска будет предложено выбрать сертификат, который вы хотите использовать для аутентификации.
Вы можете выбрать существующий сертификат или создать новый. Если нужный сертификат и ключ на токене уже присутствуют, то можно сразу перейти к финальной настройке.
Создание нового сертификата
При создании нового сертификата, сначала произойдет генерация ключа на токене, а затем вас попросят ввести данные сертификата. После заполнения данных, вам будет предложено выбрать: создать самоподписанный сертификат или создать заявку, по которой вы в дальнейшем должны будете получить сертификат в УЦ.
При создании самоподписанного сертификата, можно сразу перейти к финальной настройке.
Импорт сертификата на токен
Для выпуска сертификата в УЦ, на предыдущем шаге у вас должна была создаться заявка cert.csr в текущей директории. Также программа передаст вам идентификатор сгенерированного ключа, который нужно запомнить.
Эту заявку отправьте в ваш УЦ и если ее одобрят, вы должны получить сертификат в DER формате. После получения сертификата, его следует импортировать на токен. Для этого можно воспользоваться утилитой import_cert_to_token.sh:
Code Block | ||||
---|---|---|---|---|
| ||||
bash ./import_cert_to_token.sh |
Из всех предложенных ключей, выберете тот, для которого создавался сертификат:
Далее укажите путь до полученного сертификата:
После того как сертификат был импортирован, снова запускаем скрипт setup.sh. Выбираем идентификатор импортированного сертификата:
В следующем окне указываем имя пользователя для которого хотим задать аутентфиикацию по данному сертификату.
Info | ||
---|---|---|
| ||
Для пользователей Astra Linux также отобразится отдельное окно, в котором нужно будет выбрать модуль для аутентификации, укажите Pam_p11. |
Финальная настройка
Несколько раз нажмите клавишу ENTER до тех пор, пока на экране не отобразится сообщение с запросом ввести PIN-код токена.
загружен, его можно запустить двойным щелчком по программе token-assistent.run , если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью программы token-assistent.installer . После запуска данной программы появится ярлык token-assistent.desktop , который также можно использовать для запуска программы.
При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.
После того, как обновления будут загружены. Программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на клавишу обновления списка Рутокенов:
Далее вводим ПИН-код от Рутокена:
Откроем список объектов на Рутокене:
Если сертификат и ключевая пара отсутствуют на Рутокене:
В первую очередь сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию генерации ключевой пары:
В окне выбора алгоритма ключа необходимо указать "RSA-2048"
Метку ключа можно оставить пустой:
Если ключевая пара присутствует на Рутокене, но сертификата нет:
В списке объектов выберем ключевую пару, для которой хотим создать заявку на сертификат:
В открывшемся окне выберем опцию создания заявки на сертификат:
Заполним данные сертификата:
Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат:
В случае создания самоподписанного сертификата, данный сертификат будет автоматически импортирован на Рутокен и следующую главу в инструкции можно пропустить. Если же мы выбрали пункт создания заявки на сертификат, то данную заявку потребуется сохранить в файловой системе:
Данную заявку в дальнейшем следует отправить в Ваш УЦ, для выдачи сертификата:
Импорт выданного сертификата для ключевой пары на Рутокен:
В окне просмотра объектов выберем ключ, для которого выдан сертификат:
В открывшемся окне выберем опцию импорта сертификата ключа
Укажем путь до сертификата:
При желании можно задать метку сертификата:
Если сертификат для аутентификации уже присутствует на Рутокене
Если нужный сертификат уже присутствует на Рутокене, то нажимаем по нему двойным нажатием мыши:
И выбираем пункт настройки локальной аутентификации:
Для данной опции система может вторично потребовать права суперпользователя:
Выберем пользователя, для которого хотим произвести настройку
Если настройка прошла успешно, то утилита уведомит вас об этом:
Для того чтобы проверить, что настройка прошла успешно, выполните команду:
...