Форум Рутокен — Не могу настроить вход пользователя через рутокен...

Re: Не могу настроить вход пользователя через рутокен...

null@example.com (Vermin) — Fri, 27 Feb 2015 11:35:46 +0000

Для функционирования аутентификации мало того, чтобы сертификат был установлен на токен, он еще должен быть доверенным.
Доверенным сертификат является, если он подписан доверенным CA. CA является доверенным, если в системе установлен его корневой сертификат.
То есть, вам нужен корневой сертификат CA, который вам его подписывает.

Предназначение сертификата определяется его идентификатором OID, имеющим вид, к примеру, 1.3.6.1.5.5.7.3.
Если сертификат используется для аутентификации на веб сервисе (то есть имеет OID соответствующий проверке подлинности клиента), то он может использоваться и для логона. Но его, например, нельзя использовать для защиты электронной почты.

Re: Не могу настроить вход пользователя через рутокен...

null@example.com (ZeroCool) — Fri, 27 Feb 2015 02:43:56 +0000

С сертификатом вроде как всё нормально. По обоим командам показывает что сертификат удачно записан на токен, а что это за идентификатор вообще? Я вычитал еще информацию, что сертификат crt предназначен для авторизации входа на http, возможно что по нему вообще не получится авторизироваться в линукс, т.к. он для этого не предназначен?

Re: Не могу настроить вход пользователя через рутокен...

null@example.com (Vermin) — Thu, 26 Feb 2015 15:53:56 +0000

Если в случае самоподписанного сертификата у вас все работает, то вероятно проблема в отсутствии корневого сертификата того, кто вам его подписывает.

Касаемо указания ID пин-кода - а что вы получаете в обоих случаях?

Re: Не могу настроить вход пользователя через рутокен...

null@example.com (ZeroCool) — Wed, 25 Feb 2015 21:53:46 +0000

Pam сконфигурирован на вход через unix и Pam_p11,
Вход невозможен даже если токен воткнуть до загрузки компьютера, токены пробовал разные, все ЕЦП.
Вопрос: есть ли разница принципиальная в записи сертификата на токен в этих командах:
pkcs15-init -X [путь]/user.crt --id 45 или
pkcs15-init -X [путь]/user.crt --auth-id 02 --id 45

При вводе pin на входе в линукс токен мигает секунды 3-4, потом пишет Вход невозможен.
Если создаю самоподписаный сертификат и прописываю его то входит без проблем.

Re: Не могу настроить вход пользователя через рутокен...

null@example.com (Vermin) — Wed, 25 Feb 2015 15:46:27 +0000

Здравствуйте.
Подскажите, пожалуйста, как вы сконфигурировали PAM.

И появляется ли данная проблема при подключении токена до загрузки компьютера?

Не могу настроить вход пользователя через рутокен...

null@example.com (ZeroCool) — Sun, 22 Feb 2015 07:38:23 +0000

Проблема такая, нужно настроить вход в линукс с рутокена, с записаным на него сертификатом.
Вводимы команды:
pkcs15-init -E
pkcs15-init -C --so-pin "12345678" --so-puk ""
pkcs15-init -P --pin "1234" --puk "" --auth-id 02 --label "Users PIN" -F
pkcs15-init -G rsa/248 --auth-id 02 --id 45
openssl
engine dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:opensc-pkcs11.so
req -engine pkcs11 -new -key 1:45 -keyform engine -out user.csr -text
файл user.csr мне подписывают и присылают user.crt
Сохраняю сертификат на токене:
pkcs15-init -X [путь]/user.crt --id 45
Прописываю аутентификацию:
pkcs15-tool -r 45 > /home/user/.eid/authorized_certificates
Еще есть одна команда смысла которой я не пойму:
pkcs15-tool -r 45 > /var/mac_home/home/user/mac/1/0/.eid/authorized_certificates
Вроде как после этого я должен войти с рутокеном в пользователя, но пишется Вход невозможен.
Может кто нибудь может подсказать в чём проблема?