...
|
Загрузите модуль librtpkcs11ecp.so и установите:
|
|
|
|
|
1
|
Установка pam_pkcs11
Скачайте pam_pkcs11-X.Y.Z.tar.gz.
Далее, распакуйте архив и перейдите в распакованную папку.
Для этого необходимо выполнить следующие действия:
tar xvzf pam_pkcs11-X.Y.Z.tar.gz
|
|
Установите pam_pkcs11
|
Для конфигурации pam_pkcs11 перенесите из разархивированной папки и папки etc файл создайте папки /etc/pam_pkcs11.conf.example в папку /crls и /etc/pam_pkcs11/cacerts
|
...
...
|
...
|
...
После установки необходимых пакетов, вы можете воспользоваться графической утилитой для работы с Рутокенами в Linux для упрощённой настройки.
Создание ключей и сертификатов
...
Разархивируйте пакет и перейдите в новую папку.
|
Для установки, введите следующую команду:
|
Вы можете пропустить данный раздел, если у вас уже имеются необходимые ключи.
Если ключей нет, ниже команда для их созданию:
|
Параметр id задает идентификатор ключевой пары.
...
Создать файл конфигурации engine.conf со следующим содержимым:
|
При необходимости использовать pkcs11 engine указывать путь к файлу конфигурации engine.conf, например:
|
Сохраните сертификат на токене:
|
Проверьте, что токен подключен и на нем сохранены сертификаты и ключи.
...
Создайте базу данных доверенных сертификатов
|
Выгрузите ваш сертификат с токена (если вы пользовались для получения сертификата вышеописанной инструкцией , то ID = 45):
|
Добавьте сертификат в доверенные:
|
Настройка pam_pkcs11
Создайте (например, на рабочем столе) текстовый файл /etc/pam_pkcs11/pam_pkcs11.conf со следующим содержимым:
|
Поместите файл в каталог /etc/pam_pkcs11/:
...
cd /etc/pam_pkcs11/
sudo mv pam_pkcs11.conf pam_pkcs11.conf.
default
#резервное копирование
sudo mkdir cacerts crls
sudo cp /path/to/your/pam_pkcs11.conf /etc/pam_pkcs11/
...
Регистрация модуля PAM PKCS11 для аутентификации в системе
Подключите модуль к системе авторизации PAM:
|
|
|
Перед первым использованием модуля pam_unix добавьте туда строку со следующим содержимым:
|
Сохраните файл и узнайте поля вашего сертификата с помощью следующей команды:
|
В результате отобразится сообщение:
|
...
|
Скопируйте строчку с описанием сертификата в файл /etc/pam_pkcs11/digest_mapping в формате:
|
...
Пример заполнения файла:
|
Попробуйте аутентифицироваться:
|
...
Терминал должен запросить PIN код рутокена:
|
В окне экрана приветствия аналогично:
Настройка автоблокировки
В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.
Для того, чтобы аутентификация корректно работала на лок скрине. В настройках pkcs11_eventmgr нужно указать название сервиса, использующегося при аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:
Название графической оболочки
|
Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.
MATE → mate-screensaver
X-Cinnamon → cinnamon-screensaver
fly → <Отсутствует>
KDE → kde
GNOME → xdg-screensaver
Для настройки pkcs11_eventmgr служит файл конфигурации - /etc/pam_pkcs11/pkcs11_eventmgr.conf
Пример файла конфигурации представлен ниже:
|
После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузите компьютер.
Для этого создайте папку ~/.config/autostart. И в данной директории создайте файл ~/.config/autostart/smartcard-screensaver.desktop
|
Содержание файла smartcard-screensaver.desktop должно быть следующим:
|