Форум Рутокен — Аутентификация пользователей

Авторизация пользователей FreeIPA в ubuntu с использованием rutoken

null@example.com (arashi) — Mon, 27 Jan 2025 16:43:10 +0000

Здравствуйте.
Стоит задача организовать сетевую авторизацию пользователей заведённых через FreeIPA на компьютерах под ubuntu 24.04 с использованием Рутокен.

Локальная авторизация с исользованием pam_p11_opensc работает. Но это не то, что нужно.

Получать тикеты kerberos с использованием рутокен тоже получается.

Но как сделать именно сетевую авторизацию непонятно. Поскажите пожалуйста, куда копать.

/etc/sssd/sssd.conf

[domain/int.vlant.ru]

id_provider = ipa
dns_discovery_domain = int.vlant.ru
ipa_server = _srv_, ipa-backup.int.vlant.ru
ipa_domain = int.vlant.ru
ipa_hostname = arashi.vlant.ru
auth_provider = ipa
chpass_provider = ipa
access_provider = ipa
cache_credentials = True
ldap_tls_cacert = /etc/ipa/ca.crt
krb5_store_password_if_offline = True
krb5_auth_timeout = 60

[sssd]
services = nss, pam, ssh, sudo

domains = int.vlant.ru
[nss]
homedir_substring = /home

[pam]
pam_cert_auth = True
pam_cert_db_path = /etc/ipa/ca.crt
p11_child_timeout = 60
pam_p11_allowed_services = +xdg-screensaver, +xscreensaver, +lightdm, +lightdm-greeter, +lightdm-autologin, +kde, +kscreensaver, +sddm, +sddm-greeter, +sddm-autologin
[sudo]

[autofs]

[ssh]

[pac]

[ifp]

[session_recording]

/etc/krb5.conf

#File modified by ipa-client-install

includedir /etc/krb5.conf.d/
[libdefaults]
  pkinit_identities = PKCS11:librtpkcs11ecp.so
  default_realm = INT.VLANT.RU
  dns_lookup_realm = true
  rdns = false
  dns_canonicalize_hostname = false
  dns_lookup_kdc = true
  ticket_lifetime = 24h
  forwardable = true
  udp_preference_limit = 0
  default_ccache_name = KEYRING:persistent:%{uid}
  

[realms]
  INT.VLANT.RU = {
    pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
    pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
    pkinit_identities = PKCS11:librtpkcs11ecp.so
    pkinit_cert_match = O=INT.VLANT.RU,CN=Certificate Authority
  }


[domain_realm]
  .int.vlant.ru = INT.VLANT.RU
  int.vlant.ru = INT.VLANT.RU
  arashi.vlant.ru = INT.VLANT.RU
  .vlant.ru = INT.VLANT.RU
  vlant.ru = INT.VLANT.RU

Рутокен MFA

null@example.com (Ксения Капелькина) — Tue, 20 Aug 2024 05:36:20 +0000

Как узнать как долго проработает устройство при правильной эксплуатации и как посмотреть сколько уже записей внесено в ключ? Заявлено до 16 учетных записей. А как узнать сколько уже занесено? Бывает так что со временем уже не вспомню сколько записей заносил в MFA ключ

Рутокен OTP замена батарейки

null@example.com (Ксения Капелькина) — Mon, 12 Aug 2024 05:49:13 +0000

Здравствуйте! Подскажите, пожалуйста, вы сообщаете, что время жизни устройства до 5 лет. Здесь не предполагается замена батарейки в этот период?

Счетчик использования секретного ключа

null@example.com (anatolyb) — Thu, 25 Jul 2024 11:44:16 +0000

Подскажите, а доступен ли в каком-то виде счетчик использования секретного ключа?

Rutoken для двухфакторной авторизации

null@example.com (vlsdtv) — Tue, 16 Apr 2024 11:53:14 +0000

Добрый день!
Подскажите, как правильно реализовать
Имеется определенное количество внешних пользователей
Они подключаются к своим рабочим станциям через VPN (на базе маршрутизатора Huawei), далее RDP и попадают на свой ПК.
Так как считают, что это не самый надежный вариант подключения, было принято решение, что нужно внедрить двухфакторную авторизацию.
Подключение через VPN останется, на надо защитить RDP, авторизовывать по токену.
Что и как нам необходимо настроить авторизацию по данному сценарию?
Насколько я понял - необходимо в своем домене поднять центр сертификации, и по локальным компьютерам установить драйвера
Как-то так?

Аутентичность ключа

null@example.com (anatolyb) — Mon, 18 Sep 2023 13:28:45 +0000

Подскажите, может ли сейчас быть решена следующая задача.

Требуется доказать третьей стороне, что ключевая пара была создана на устройстве Рутокен ЭЦП x.x.

По сути, на основании какого-то внутреннего ключа производителя должен быть подписан документ, в котором указан серийный номер и сгенерированный открытый ключ.

Как вариант, Рутокеном для локально созданных ключевых пар генерируется ссылка на xxx.rutoken.ru, при переходе по которой отображается открытый ключ (решение отдаленно напоминает функцию некоторых NFC-меток).

Интересна ли эта идея для реализации?

Использование токена при подключении к недоверенной среде

null@example.com (anatolyb) — Mon, 18 Sep 2023 07:12:03 +0000

В Windows при использовании токенов на удаленном сервере ожидаемо возникает угроза несанкционированного использования токена в случае, если подключение идет к скомпрометированному (malicious) серверу. Суть в том, что на удаленный сервер экспортируется низкоуровневый интерфейс смар-карты, а не прикладной.

Нашлась статья "Attacking RDP from Inside..." и ссылка на CVE-2022-24533 на один из вариантов простого использования уязвимости (Attack Complexity: Low, Privileges Required: Low). В статье так же есть видео с демонстрацией эксплуатации уязвимости "Video 3: Smart Card Redirection".

В отличие от RDP, при использовании SSH экспортируется не низкоуровневый, а прикладной интерфейс аутентификации в форме "SSH Agent", что выглядит намного безопаснее для сценария подключения к скомпрометированному серверу. Конечное обслуживание запросов производится на клиентской машине, которая предполагается доверенной, а не на удаленном сервере. В утилите "ssh-add" есть ключ "-с" для инициации интерактивного запроса на использование ключа (Indicates that added identities should be subject to confirmation before being used for authentication). А для Putty есть, как минимум, pagent из состава Putty CAC с опцией запроса использования ключа.

В связи с этим вопрос.

Есть ли сейчас варианты (или планируется ли) повышения дуракоустойчивасти использования Рутокена в сценарии подключения к скомпрометированному серверу (в первую очередь, к Windows)?

Сейчас, на одном токене могут располагаться ключи от разных несвязанных систем, но все они защищены единственным PIN-кодом. Если принять стратегию, что под каждое применение должен быть свой отдельный токен, то это может привести к обратному эффекту по безопасности: ключи могут путаться, теряться, не вписываться в бюджет проекта и т.п.

Одной из идей была возможность назначить разные PIN-коды на разные ключи (возможно, тема "Локальные PIN" относится к этому). Т.е. что бы утечка PIN-кода не раскрывала всех секретов.

Так же был продукт Рутокен Touch, требующий физического подтверждения операции. Но, как я понял, он снят с производства.

Хотелось бы услышать мнение специалистов на этот счет.

Rutoken ЭЦП 2.0 + AD

null@example.com (ZebraTLP) — Mon, 11 Oct 2021 11:10:37 +0000

Добрый день.

Пробуем использовать Рутокен ЭЦП 2.0 для 2-х факторной авторизации в домене AD.
По ходу столкнулись с тем, что на сервера, на которых мы хотим авторизоваться через RDP подключение, необходимо ставить весь пакет драйверов Рутокен, хотя в инструкции написано, что достаточно минидрайвера и Рутокен поддерживает MS Base Smart Card CSP.

Без установленного пакета драйверов, на сервере не появляется устройство Smart Card.
В процессе установки пакета драйверов принудительно устанавливаются устройства Smart Card Reader и тогда уже становится видна сама смарткарта.

Подскажите, возможна ли работа Рутокен ЭЦП 2.0 с одним лишь минидрайвером на сервере, как этого добиться и что я делаю не так?

P.S. Используемые ОС: Win7 - 10, Server 2012 R2 - 2019.

РУТОКЕН U2F и новый стандарт FIDO2 protocol-v2.1

null@example.com (СЕРГЕЙ 1973) — Thu, 01 Jul 2021 06:07:10 +0000

Подскажите для ключей Рутокен U2F работающих на старом стандарте FIDO+U2F необходим переход на новые стандарты FIDO2 FIDO+U2F., и каким образом Рутокен U2F обновлять или ждать утилиты обновления и прошивки или отправлять к вам.
Причём некоторые производители cсылаются на новые редакции протоколов FIDO2 protocol-v2.1
Windows уже не признаёт Рутокены U2F как ключи безопасности..

rutoken ЭЦП 2.0 + rosa linux авторизация в MS AD

null@example.com (butskivsky) — Mon, 15 Jun 2020 10:04:24 +0000

Добрый день. Необходимо решить задачу авторизации в домене MS AD Windows 20212 r2 на компьютере с ОС Rosa Linux Cobalt (Centos 7.3).
На данный момент получилось успешно авторизоваться локальным пользователем (сертификат создавался в https://ra.rutoken.ru ). Для понимания того что я делаю - набросал следующий скрипт https://github.com/butskivsky/rosa2fa/b … rosa2fa.sh
Так же в структуре домена поднят AD CS, сертификатом выпущенным в нем и записанным на токен получилось авторизоваться на машине с Windows 10 используя данную инструкцию: https://dev.rutoken.ru/pages/viewpage.a … d=57148898
Существуют ли какие-либо рекомендации или инструкции как организовать вход по токену в Windows домен с линукс машины?

Rutoken ECP 2.0 + Native IPSEC Client IKEv2

null@example.com (DeadManUNI) — Mon, 28 Oct 2019 06:44:49 +0000

Добрый день.
Пытаюсь настроить авторизацию с помощью смарт-карты для родного клиента IPSEC в W10.
После настройки и попытки запуска клиента, приложение обращается к ключу, но в логах возвращается 610 ошибка
---cut here---
Устройство чтения смарт-карт "Microsoft UICC ISO Reader 14bfefc6 0" отклонило IOCTL TRANSMIT: Отказано в доступе.. Если ошибка повторяется, возможно, смарт-карта или устройство чтения смарт-карт работает неправильно.

Заголовок команды: 00 a4 04 00

Устройство чтения смарт-карт "Microsoft UICC ISO Reader 14bfefc6 0" отклонило IOCTL TRANSMIT: Параметр задан неверно.. Если ошибка повторяется, возможно, смарт-карта или устройство чтения смарт-карт работает неправильно.

Заголовок команды: 00 ca 7f 68
---cut here---

Где что может быть не донастроено!?

Дрова: 4.7.0.0
Спасибо

Как добавить поставщика RuToken в windows server 2016?

null@example.com (Fautif) — Thu, 25 Jul 2019 05:24:40 +0000

Хочу настроить подключить smartcard авторизацию при помощи RuToken Lite. Судя по описанию ключ не работает со встроенным поставщиком windows и требует свой. Скачиваю дрова с оф.сайта, ставлю их, в оборудовании появляется три доп. считывателя Aktiv Co. Судя по мануалам в сети, после установки дров в винде должен появится доп.поставщик Aktiv RuToken CSP 1.0. Но его при создании шаблонов в списке так и нет.

Уже перепробовал все варианты переустановок восстановлений и т.д., как заставить Win Serv 2016 отображать этого поставщика?

Аутентификация в УЦ Microsoft + Рутокен ЭЦП 2 + astra

null@example.com (Ubop0202) — Mon, 12 Nov 2018 16:50:08 +0000

Здравствуйте!

Дано: на MS Windows 2008r2 AD, развернут Центр сертификации,
в gpo включена политика входа по смарт-карте(рутокен), с машин windows 7 вход по токену проходит без проблем

Задача:
Осуществить вход по токену в ОС Astralinux Orel 2.12

Вопрос:
Сталкивались вы с такой задачой?
у вас есть мануалы?
Как подружить Астру(она уже в домене) с УЦ MS 2008r2 ?

рутокен + VMware Horizon Client for Linux

null@example.com (Антон Бородин) — Wed, 30 Nov 2016 13:10:18 +0000

Чисто для информации.
Чтобы заработала авторизация в VMware Horizon Client for Linux через рутокен необходимо скачать библиотеку librtpkcs11ecp.so для соответствующей архитектуры и расположить её (или ссылку на неё) в /usr/lib/vmware/view/pkcs11/librtpkcs11ecp.so
Собственно, выяснил-то я это уже давно, просто только сейчас сподобился об этом написать.

Windows 7+ AD + RuToken

null@example.com (tretalek) — Thu, 13 Oct 2016 15:13:28 +0000

Доброго времени суток. Хотели использовать Рутокен ЭЦП для авторизации в домене. Имеем - Windows Server 2012 R2, на нем поднят ЦС, установлены драйвера Рутокена. Через консоль делаем запрос сертификата "Вход с смарт-картой", криптопровайдер Active Rutoken. Настроили GPO - проверяем, сервер определяет смарт-карту, входит, выходит из сеанса при вытаскивании токена. Пробуем на раб.месте - тишина. Через панель видит что на токене находится сертификат, но не появляется возможность авторизации по токену на нач. экране. Если через GPO принудительно выставить "использовать для интерактивного входа" - то пишет что для входа нужен токен но также его не видит..... На раб. месте стоит несколько криптопровайдеров: Рутокен 4.1.1.0, eToken PKI 5.1.66.0, КриптоПро CSP 3.9.8002 KC1. В настройках везде убраны галки "использовать для входа в систему". В чем может быть проблема, если в системе определяется рутокен, а при авторизации нет?