<![CDATA[Форум Рутокен — Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/topic/4566/ Thu, 30 Jan 2025 12:24:49 +0000 PunBB <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27106/#p27106 arashi, нашли проблему.
Падение вызывает замена lib_p11. Проверим, не исправилась ли проблема с двухфакторной аутентификацией в Ubuntu без замены lib_p11.

]]> Thu, 30 Jan 2025 12:24:49 +0000 https://forum.rutoken.ru/post/27106/#p27106 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27104/#p27104 arashi, проверили у себя поведение. openssl не падает.
Какая версия opensc у вас? есть ли падение, если не указывать -config user_cert.inf

]]> Thu, 30 Jan 2025 11:20:44 +0000 https://forum.rutoken.ru/post/27104/#p27104 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27102/#p27102 Взял свежий токен из прибывшей партии, создал ключевую пару на токене.

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin 12345678 --keypairgen --key-type rsa:2048 --id 33 --label test3

Using slot 0 with a present token (0x0)
Key pair generated:
Private Key Object; RSA 
  label:      test3
  ID:         33
  Usage:      decrypt, sign
  Access:     sensitive, always sensitive, never extractable, local
Public Key Object; RSA 2048 bits
  label:      test3
  ID:         33
  Usage:      encrypt, verify
  Access:     local

Видно объекты с id=33
Видно сообщение, что приватный ключ не извлекаемый.
В случае с самостоятельной генерацией ключей "never extractable" не появлялось, хоть приложение рутокен для windows (если вставить токен в пк с windows) всё равно сообщало, что ключ неизвлекаемый.

Теперь пытаюсь получить запрос на сертификат с токена, безуспешно:
Пробую по инструкции https://dev.rutoken.ru/pages/viewpage.a … =113279016
Ошибка.
OPENSSL_CONF=/home/arashi/rutoken/engine.conf openssl req -new -engine pkcs11 -key 0:33 -keyform engine -passin pass:12345678 -out client.pem -config user_cert.inf

Engine "pkcs11" set.
Workaround for OpenSSL 3.0.13 30 Jan 2024 enabled
PKCS#11: Initializing the engine: /usr/lib/librtpkcs11ecp.so
Found 15 slots
Looking in slot 0 for private key without login: id=33
- [0] Aktiv Rutoken ECP 00 00    login                                 (Rutoken ECP <no label>)
Segmentation fault (core dumped)
]]> Thu, 30 Jan 2025 09:27:20 +0000 https://forum.rutoken.ru/post/27102/#p27102 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27096/#p27096 arashi пишет:

pkcs11:object=test2_2fa_ipa

Возможно, проблема в этом. Мы столкнулись с подобной проблемой при работе через наш rtengine. лучше использовать не указание object, а id.

]]> Thu, 30 Jan 2025 06:08:27 +0000 https://forum.rutoken.ru/post/27096/#p27096 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27094/#p27094 Во вторых при разблокировке системы с графическо экрана блокировки крашится
/usr/lib/gdc-smartcard
crashed with SIGSEGV

]]> Thu, 30 Jan 2025 06:01:27 +0000 https://forum.rutoken.ru/post/27094/#p27094 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27093/#p27093 Вопросы всё равно остались.
Во-первых не удаётся получить со смарт карты запрос на сертификат. Пока что ключи и сертификаты приходится создавать отдельно.

При помощи pkcs11-tool ключевая пара на флешке создаётся успешно.
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 22 --label test2_2fa_ipa

А вот запрос на сертификат выдаётся segmentation fault
OPENSSL_CONF=/home/arashi/rutoken/test2/engine.conf openssl req -new -engine pkcs11 -key "pkcs11:object=test2_2fa_ipa" -keyform engine -passin pass:12345678 -out client.pem -config user_cert.inf
Engine "pkcs11" set.
Workaround for OpenSSL 3.0.13 30 Jan 2024 enabled
PKCS#11: Initializing the engine: /usr/lib/librtpkcs11ecp.so
Found 15 slots
Looking in slots for private key without login: label=test2_2fa_ipa
- [0] Aktiv Rutoken ECP 00 00    login                                 (Rutoken ECP <no label>)
Segmentation fault (core dumped)


Содержимое файла /home/arashi/rutoken/test2/engine.conf
openssl_conf = openssl_init
[openssl_init]
engines = engine_section
[engine_section]
pkcs11 = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/x86_64-linux-gnu/engines-3/pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
default_algorithms = ALL

В путях ошибок нет
ls -l /usr/lib/x86_64-linux-gnu/engines-3/pkcs11.so
-rwxr-xr-x 1 root root 417080 Jan 29 18:13 /usr/lib/x86_64-linux-gnu/engines-3/pkcs11.so
ls -l /usr/lib/librtpkcs11ecp.so
lrwxrwxrwx 1 root root 47 Jan 10 15:02 /usr/lib/librtpkcs11ecp.so -> /opt/aktivco/rutokenecp/amd64/librtpkcs11ecp.so

]]> Thu, 30 Jan 2025 05:57:10 +0000 https://forum.rutoken.ru/post/27093/#p27093 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27092/#p27092 Проблема была видимо из-за того, что рam_pkcs11 и pam_sss работали вместе.
Вот полная инструкция для чисой убунты 24.04 desktop

Устанавливаем библиотеки:
sudo apt-get install pcscd opensc openssl libpam-p11 libengine-pkcs11-openssl
sudo apt-get install make automake autoconf libssl-dev pkgconf gcc git libtool
sudo apt-get install krb5-pkinit libpam-krb5
systemctl enable pcscd
wget https://download.rutoken.ru/Rutoken/PKC … _amd64.deb
sudo dpkg -i librtpkcs11ecp_2.17.1.0-1_amd64.deb

Создаём ключи, сертификат. Загружаем на флешку.
openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=tester66' # запрос на сертификат
kinit admin
ipa user_add tester66
ipa cert-request cert.csr --principal=tester66 --ca ipa --profile-id caIPAserviceCert --certificate-out cert.pem # Отправляем запрос на сертификат

Переформатируем ключ и сертификат в DER формат:

openssl rsa -in ./private.key -outform DER -out privatekey.der
openssl x509 -outform DER -in ./cert.pem -out client_cert.der
openssl pkey -inform DER -in privatekey.der -outform DER -pubout -out pubkey.der

Записываем секретный ключ и сертификат на токен:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./privatekey.der --type privkey --id 13 --label test
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./client_cert.der --type cert --id 13 --label test
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./pubkey.der --type pubkey --id 13 --label test

Проверим что на токене есть все объекты
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 -O

Проверим что по этому сертификату мы сможем получить билет керберос нашим пользователем
KRB5_TRACE=/dev/stdout kinit -V -X X509_user_identity='PKCS11:/usr/lib/librtpkcs11ecp.so' tester66
klist

Содать файл
sudo nano /usr/share/p11-kit/modules/Rutoken.module
с текстом
module:/usr/lib/librtpkcs11ecp.so

Настроить polkit
sudo nano /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy
поставить yes во всех местах
<allow_any>yes</allow_any>
<allow_inactive>yes</allow_inactive>

В базу данных сертификатов добавляем возможность искать сертификаты через библиотеку pkcs11
sudo modutil -dbdir "/etc/ipa/nssdb" -add "My PKCS11" -libfile /usr/lib/librtpkcs11ecp.so
Добавим в файл настроек кербероса строку, что можно использовать библиотеку для поиска сертификатов
sudo nano /etc/krb5.conf
[libdefaults]
pkinit_identities = PKCS11:librtpkcs11ecp.so
В файл настроек сервиса сссд так же добавим разрешение на вход по сертификату
sudo nano /etc/sssd/sssd.conf
[sssd]
services = nss, pam
[pam]
pam_cert_auth = True
pam_cert_db_path = /etc/ipa/ca.crt

Перезапустим службу сссд
sudo systemctl restart sssd

]]> Thu, 30 Jan 2025 05:50:22 +0000 https://forum.rutoken.ru/post/27092/#p27092 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27075/#p27075 Спасибо за ваш ответ. Буду очень признателен, если вы продолжите отвечать.

Да, с путём к сертификату всё верно.

[domain/int.vlant.ru]

id_provider = ipa
dns_discovery_domain = int.vlant.ru
ipa_server = _srv_, ipa-backup.int.vlant.ru
ipa_domain = int.vlant.ru
ipa_hostname = arashi.vlant.ru
auth_provider = ipa
chpass_provider = ipa
access_provider = ipa
cache_credentials = True
ldap_tls_cacert = /etc/ipa/ca.crt
krb5_store_password_if_offline = True
krb5_auth_timeout = 60
debug_level=10

[sssd]
services = nss, pam, ssh, sudo
domains = int.vlant.ru
debug_level=10
[nss]
homedir_substring = /home

[pam]
pam_cert_auth = True
pam_cert_db_path = /etc/ipa/ca.crt
#pam_p11_allowed_services = +xdg-screensaver
pam_verbosity = 10
debug_level=10
[sudo]

[autofs]

[ssh]

[pac]

[ifp]

[session_recording]

Сама db тоже работает

/usr/libexec/sssd/p11_child --pre --ca_db=/etc/ipa/ca.crt
0
Rutoken ECP <no label>
/usr/lib/librtpkcs11ecp.so
02
test2
:сертификат пользователя:

sudo pam-auth-update
показывает подключенные модули (pam_p11 я отключил)

PAM profiles to enable:                                                                                                                                                                 │ 
 │                                                                                                                                                                                         │ 
 │  [*] Pwquality password strength checking                                                                                                                                               │ 
 │  [ ] Pam_pkcs11                                                                                                                                                                         │ 
 │  [ ] Pam_p11                                                                                                                                                                            │ 
 │  [*] Kerberos authentication                                                                                                                                                            │ 
 │  [ ] SSS required smart card authentication                                                                                                                                             │ 
 │  [ ] SSS optional smart card authentication                                                                                                                                             │ 
 │  [ ] Fingerprint authentication                                                                                                                                                         │ 
 │  [*] Unix authentication                                                                                                                                                                │ 
 │  [*] SSS authentication                                                                                                                                                                 │ 
 │  [*] Register user sessions in the systemd control group hierarchy                                                                                                                      │ 
 │  [*] Create home directory on login                                                                                                                                                     │ 
 │  [*] GNOME Keyring Daemon - Login keyring management                                                                                                                                    │ 
 │  [*] Inheritable Capabilities Management

В такой конфигурации su не просит ввести пин-код
Включение SSS required/optional smart card authentication  также ни к чему не приводит
Возможно я не понимаю, как подключить pam_sss

Я включил Pam_pkcs11
И здесь происходит странное.

su test2 начинает спрашивать pin, но при его правильном вводе выдаёт ошибку
ERROR:pam_pkcs11.c:627: no valid certificate which meets all requirements found

Затем второй раз, уже не сообщая Welcome Rutoken ECP <no label>!,  спрашивает PIN код,
И вот на второй раз при правильном вводе авторизует пользователя.

$ su test2
Smart card found.
Welcome Rutoken ECP <no label>!
Smart card PIN: 
verifying certificate
ERROR:pam_pkcs11.c:627: no valid certificate which meets all requirements found
Error 2336: No matching certificate found
Smartcard authentication cancelled
Rutoken ECP <no label>           PIN: 
$ bash

Причём первый ввод совсем не важен - можно ввести неправильный код
я получу ошибку ERROR:pam_pkcs11.c:503: open_pkcs11_login() failed: C_Login() failed: 160
а затем смогу уже ввести правильный код

$ su test2
Smart card found.
Welcome Rutoken ECP <no label>!
Smart card PIN:
ERROR:pam_pkcs11.c:503: open_pkcs11_login() failed: C_Login() failed: 160
Error 2320: Wrong smartcard PIN
Rutoken ECP <no label>           PIN (Warning: PIN count low):
$ bash

В графическом интерфейсе всё то же самое - первый ввод PIN-кода выдаёт ошибки, повторный приводит к разблокировке компьютера, после чего gnome начинает сыпать сообщениями об ошибках, связанных со смарт картой.

Кроме того, подобная конфигурация блокирует обычный вход по паролю, и блокирует компьютер при извлечении токена.

]]> Wed, 29 Jan 2025 12:22:51 +0000 https://forum.rutoken.ru/post/27075/#p27075 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27068/#p27068 В сценарии доменной аутентификации не должен использоваться pam_p11. Этот модуль используется для локальной аутентификации. Что и подтверждается вами, когда вы добавили сертификат в ~/.eid/authorized_certificates
Для доменной аутентификации используется  pam_sss.

Проверьте, что у вас правильный сертификат сервера, совпадающий с путем pam_cert_db_path = /etc/ipa/ca.crt

]]> Wed, 29 Jan 2025 07:44:20 +0000 https://forum.rutoken.ru/post/27068/#p27068 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27062/#p27062 Не понимаю. Памтестер сообщает, что аутентификация проходит.

$pamtester -v gdm-smartcard test1 authenticate
pamtester: invoking pam_start(gdm-smartcard, test1, ...)
pamtester: performing operation - authenticate
PIN for Rutoken ECP <no label>: 
pamtester: successfully authenticated

Но в то же самое время переключиться на пользователя используя смарт-карту я не могу

$ su test1
No authorized keys on token
Password:

auth.log при этом

2025-01-28T20:48:11.688195+03:00 arashi su: pam_p11(su:auth): Searching Rutoken ECP <no label> for keys
2025-01-28T20:48:11.792767+03:00 arashi su: pam_p11(su:auth): No authorized key found

Точно такое же сообщение и точно такой же auth.log я получаю, если запускаю pamtester с недоступным для него сервером IPA

pamtester: invoking pam_start(gdm-smartcard, test1, ...)
pamtester: performing operation - authenticate
No authorized keys on token
Password:

Если сертификат с карты разместить у пользователя в ~/.eid/authorized_certificates то всё нормально, su test1 спрашивает PIN-код и пользователь авторизауется.

ipa user-show test1
показывает, что сертификат на карте совпадает с сертификатом пользователя на сервере ipa.

Может ли это говорить о том, что для pam_p11 не доступен сертификат?
pam не может прочитать /etc/ipa/nssd ?

Возможность её использовать была добавлена 

sudo modutil -dbdir "/etc/ipa/nssdb" -add "My PKCS11" -libfile /usr/lib/librtpkcs11ecp.so

Модули видны

modutil -dbdir "/etc/ipa/nssdb" -list
modutil -dbdir "/etc/ipa/nssdb" -list

Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
       uri: pkcs11:library-manufacturer=Mozilla%20Foundation;library-description=NSS%20Internal%20Crypto%20Services;library-version=3.98
     slots: 2 slots attached
    status: loaded

     slot: NSS Internal Cryptographic Services
    token: NSS Generic Crypto Services
      uri: pkcs11:token=NSS%20Generic%20Crypto%20Services;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

     slot: NSS User Private Key and Certificate Services
    token: NSS Certificate DB
      uri: pkcs11:token=NSS%20Certificate%20DB;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

  2. My PKCS11
    library name: /usr/lib/librtpkcs11ecp.so
       uri: pkcs11:library-manufacturer=Aktiv%20Co.;library-description=Rutoken%20ECP%20PKCS%20%2311%20library;library-version=2.17
     slots: 15 slots attached
    status: loaded

     slot: Aktiv Rutoken ECP 00 00
    token: Rutoken ECP <no label>
      uri: pkcs11:token=Rutoken%20ECP%20%3Cno%20label%3E;manufacturer=Aktiv%20Co.;serial=45424088;model=Rutoken%20ECP

     slot: 
    token: 
      uri: pkcs11:

И с авторизацией по PIN-коду я могу увидеть сертификат

certutil -L -d /etc/ipa/nssdb -h all

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Enter Password or Pin for "Rutoken ECP <no label>":
INT.VLANT.RU IPA CA                                          CT,C,C
Rutoken ECP <no label>:testov
]]> Tue, 28 Jan 2025 17:05:16 +0000 https://forum.rutoken.ru/post/27062/#p27062 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27052/#p27052 arashi, по этому сценарию все должно работать.

]]> Tue, 28 Jan 2025 13:01:48 +0000 https://forum.rutoken.ru/post/27052/#p27052 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27050/#p27050 Создаю вручную.
Нет, специально так не делаю.

openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=test1'
kinit admin
ipa user_add test1

ipa cert-request cert.csr --principal=test1 --ca ipa --profile-id caIPAserviceCert --certificate-out cert.pem
openssl rsa -in ./private.key -outform DER -out privatekey.der
openssl pkey -inform DER -in privatekey.der -outform DER -pubout -out pubkey.der
openssl x509 -outform DER -in ./cert.pem -out client_cert.der

Записываем секретный ключ и сертификат на токен
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./privatekey.der --type privkey --id 1 --label test
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./client_cert.der --type cert --id 1 --label test
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -l --pin 12345678 --write-object ./pubkey.der --type pubkey --id 1 --label test

]]> Tue, 28 Jan 2025 12:05:32 +0000 https://forum.rutoken.ru/post/27050/#p27050 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27049/#p27049 А как вы создаете сертификат на токене?
У вас CN сертификата не совпадает с именем пользователя специально?

]]> Tue, 28 Jan 2025 11:12:30 +0000 https://forum.rutoken.ru/post/27049/#p27049 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27045/#p27045 sudo certutil -L -d /etc/pki/nssdb -h all

выдаёт 

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Enter Password or Pin for "Rutoken ECP <no label>":
IPA CA                                                       CT,C,C
Rutoken ECP <no label>:testov                                u,u,u

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L

Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN count low, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 67.4
  firmware version   : 32.2
  serial num         : 45424088
  pin min/max        : 6/32
Slot 1 (0x1): 
  (empty)
Slot 2 (0x2): 
  (empty)
Slot 3 (0x3): 
  (empty)
Slot 4 (0x4): 
  (empty)
Slot 5 (0x5): 
  (empty)
Slot 6 (0x6): 
  (empty)
Slot 7 (0x7): 
  (empty)
Slot 8 (0x8): 
  (empty)
Slot 9 (0x9): 
  (empty)
Slot 10 (0xa): 
  (empty)
Slot 11 (0xb): 
  (empty)
Slot 12 (0xc): 
  (empty)
Slot 13 (0xd): 
  (empty)
Slot 14 (0xe): 
  (empty)
]]> Tue, 28 Jan 2025 09:28:37 +0000 https://forum.rutoken.ru/post/27045/#p27045 <![CDATA[Re: Авторизация пользователей FreeIPA в ubuntu с использованием rutoken]]> https://forum.rutoken.ru/post/27041/#p27041 libpam-krb5 не был установлен. Установил.


# modutil -dbdir "/etc/ipa/nssdb" -add "My PKCS11" -libfile /usr/lib/librtpkcs11ecp.so

WARNING: Performing this operation while the browser is running could cause
corruption of your security databases. If the browser is currently running,
you should exit browser before continuing this operation. Type 
'q <enter>' to abort, or <enter> to continue: 

ERROR: Failed to add module "My PKCS11". Probable cause : "Failure to load dynamic library".
# ls -la /usr/lib/librtpkcs11ecp.so
lrwxrwxrwx 1 root root 47 Jan 10 15:02 /usr/lib/librtpkcs11ecp.so -> /opt/aktivco/rutokenecp/amd64/librtpkcs11ecp.so
# ls -la /opt/aktivco/rutokenecp/amd64/librtpkcs11ecp.so
-r--r--r-- 1 root root 6010332 Jan 27 18:44 /opt/aktivco/rutokenecp/amd64/librtpkcs11ecp.so

Да, модуль уже был добавлен, поэтому при попытке добавить его ещё раз возникала ошибка.

# modutil -dbdir "/etc/ipa/nssdb" -delete "My PKCS11"
Module "My PKCS11" deleted from database.

#modutil -dbdir "/etc/ipa/nssdb" -add "My PKCS11" -libfile /usr/lib/librtpkcs11ecp.so
WARNING: Performing this operation while the browser is running could cause
corruption of your security databases. If the browser is currently running,
you should exit browser before continuing this operation. Type 
'q <enter>' to abort, or <enter> to continue: 

Module "My PKCS11" added to database.

Вот активные модули

# modutil -dbdir "/etc/ipa/nssdb" -list

Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
       uri: pkcs11:library-manufacturer=Mozilla%20Foundation;library-description=NSS%20Internal%20Crypto%20Services;library-version=3.98
     slots: 2 slots attached
    status: loaded

     slot: NSS Internal Cryptographic Services
    token: NSS Generic Crypto Services
      uri: pkcs11:token=NSS%20Generic%20Crypto%20Services;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

     slot: NSS User Private Key and Certificate Services
    token: NSS Certificate DB
      uri: pkcs11:token=NSS%20Certificate%20DB;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203

  2. My PKCS11
    library name: /usr/lib/librtpkcs11ecp.so
       uri: pkcs11:library-manufacturer=Aktiv%20Co.;library-description=Rutoken%20ECP%20PKCS%20%2311%20library;library-version=2.17
     slots: 15 slots attached
    status: loaded

     slot: Aktiv Rutoken ECP 00 00
    token: Rutoken ECP <no label>
      uri: pkcs11:token=Rutoken%20ECP%20%3Cno%20label%3E;manufacturer=Aktiv%20Co.;serial=45424088;model=Rutoken%20ECP

     slot: 
    token: 
      uri: pkcs11:

     slot: 
    token: 
      uri: pkcs11:

# KRB5_TRACE=/dev/stdout kinit -X X509_user_identity='PKCS11:/usr/lib/librtpkcs11ecp.so' test99

[65712] 1738051045.463592: Matching test99@INT.VLANT.RU in collection with result: -1765328243/Can't find client principal test99@INT.VLANT.RU in cache collection
[65712] 1738051045.463593: Getting initial credentials for test99@INT.VLANT.RU
[65712] 1738051045.463595: Sending unauthenticated request
[65712] 1738051045.463596: Sending request (186 bytes) to INT.VLANT.RU
[65712] 1738051045.463597: Initiating TCP connection to stream 192.168.22.253:88
[65712] 1738051045.463598: Sending TCP request to stream 192.168.22.253:88
[65712] 1738051045.463599: Received answer (252 bytes) from stream 192.168.22.253:88
[65712] 1738051045.463600: Terminating TCP connection to stream 192.168.22.253:88
[65712] 1738051045.463601: Response was from primary KDC
[65712] 1738051045.463602: Received error from KDC: -1765328359/Additional pre-authentication required
[65712] 1738051045.463605: Preauthenticating using KDC method data
[65712] 1738051045.463606: Processing preauth types: PA-PK-AS-REQ (16), PA-FX-FAST (136), PA-PKINIT-KX (147), PA_AS_FRESHNESS (150), PA-FX-COOKIE (133)
[65712] 1738051045.463607: Received cookie: MIT
[65712] 1738051045.463608: PKINIT loading identity PKCS11:/usr/lib/librtpkcs11ecp.so
[65712] 1738051045.463609: PKINIT opening PKCS#11 module "/usr/lib/librtpkcs11ecp.so"
[65712] 1738051045.463610: PKINIT PKCS#11 slotid 0 token Rutoken ECP <no label>
[65712] 1738051045.463611: Preauth module pkinit (147) (info) returned: 0/Success
[65712] 1738051045.463612: PKINIT client received freshness token from KDC
[65712] 1738051045.463613: Preauth module pkinit (150) (info) returned: 0/Success
[65712] 1738051045.463614: PKINIT opening PKCS#11 module "/usr/lib/librtpkcs11ecp.so"
[65712] 1738051045.463615: PKINIT PKCS#11 slotid 0 token Rutoken ECP <no label>
Rutoken ECP <no label>           PIN:  принимает правильный пин кода
[65712] 1738051054.882529: PKINIT client matching rule '<ISSUER>O=INT.VLANT.RU,CN=Certificate Authority' against certificates
[65712] 1738051054.882530: PKINIT matched ISSUER rule 'O=INT.VLANT.RU,CN=Certificate Authority' with value 'O=INT.VLANT.RU,CN=Certificate Authority' in cert #1
[65712] 1738051054.882531: PKINIT client checked 1 certs, found 1 matches
[65712] 1738051054.882532: PKINIT loading CA certs and CRLs from FILE /var/lib/ipa-client/pki/kdc-ca-bundle.pem
[65712] 1738051054.882533: PKINIT loading CA certs and CRLs from FILE /var/lib/ipa-client/pki/ca-bundle.pem
[65712] 1738051054.882534: PKINIT client computed kdc-req-body checksum 14/1D6F9D7296CE05F9825C0613E5C4CBAFE32BA7E4
[65712] 1738051054.882536: PKINIT client making DH request
[65712] 1738051054.882537: PKINIT chain cert #0: /O=INT.VLANT.RU/CN=test99
[65712] 1738051054.882538: Preauth module pkinit (16) (real) returned: 0/Success
[65712] 1738051054.882539: Produced preauth for next request: PA-FX-COOKIE (133), PA-PK-AS-REQ (16)
[65712] 1738051054.882540: Sending request (3036 bytes) to INT.VLANT.RU
[65712] 1738051054.882541: Initiating TCP connection to stream 192.168.22.253:88
[65712] 1738051054.882542: Sending TCP request to stream 192.168.22.253:88
[65712] 1738051054.882543: Received answer (3827 bytes) from stream 192.168.22.253:88
[65712] 1738051054.882544: Terminating TCP connection to stream 192.168.22.253:88
[65712] 1738051054.882545: Response was from primary KDC
[65712] 1738051054.882546: Processing preauth types: PA-PK-AS-REP (17)
[65712] 1738051054.882547: PKINIT client verified DH reply
[65712] 1738051054.882548: PKINIT client found 3 SANs (1 princs, 0 UPNs, 0 DNS names) in certificate /O=INT.VLANT.RU/CN=ipa-backup.int.vlant.ru
[65712] 1738051054.882549: PKINIT client found id-pkinit-san in KDC cert: krbtgt/INT.VLANT.RU@INT.VLANT.RU
[65712] 1738051054.882550: PKINIT client matched KDC principal krbtgt/INT.VLANT.RU@INT.VLANT.RU against id-pkinit-san; no EKU check required
[65712] 1738051054.882551: PKINIT client used KDF 2B06010502030602 to compute reply key aes256-cts/9E08
[65712] 1738051054.882552: Preauth module pkinit (17) (real) returned: 0/Success
[65712] 1738051054.882553: Produced preauth for next request: (empty)
[65712] 1738051054.882554: Salt derived from principal: INT.VLANT.RUtest99
[65712] 1738051054.882555: AS key determined by preauth: aes256-cts/9E08
[65712] 1738051054.882556: Decrypted AS reply; session key is: aes256-cts/3929
[65712] 1738051054.882557: FAST negotiation: available
[65712] 1738051054.882558: Resolving unique ccache of type MEMORY
[65712] 1738051054.882559: Initializing MEMORY:ZJiTwIS with default princ test99@INT.VLANT.RU
[65712] 1738051054.882560: Storing config in MEMORY:ZJiTwIS for krbtgt/INT.VLANT.RU@INT.VLANT.RU: fast_avail: yes
[65712] 1738051054.882561: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/fast_avail/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in MEMORY:ZJiTwIS
[65712] 1738051054.882562: Storing config in MEMORY:ZJiTwIS for krbtgt/INT.VLANT.RU@INT.VLANT.RU: pa_type: 16
[65712] 1738051054.882563: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/pa_type/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in MEMORY:ZJiTwIS
[65712] 1738051054.882564: Storing config in MEMORY:ZJiTwIS for krbtgt/INT.VLANT.RU@INT.VLANT.RU: pa_config_data: {"X509_user_identity":"PKCS11:module_name=/usr/lib/librtpkcs11ecp.so"}
[65712] 1738051054.882565: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/pa_config_data/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in MEMORY:ZJiTwIS
[65712] 1738051054.882566: Storing test99@INT.VLANT.RU -> krbtgt/INT.VLANT.RU@INT.VLANT.RU in MEMORY:ZJiTwIS
[65712] 1738051054.882567: Moving ccache MEMORY:ZJiTwIS to KEYRING:persistent:0:0
[65712] 1738051054.882568: Initializing KEYRING:persistent:0:0 with default princ test99@INT.VLANT.RU
[65712] 1738051054.882569: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/fast_avail/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in KEYRING:persistent:0:0
[65712] 1738051054.882570: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/pa_type/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in KEYRING:persistent:0:0
[65712] 1738051054.882571: Storing test99@INT.VLANT.RU -> krb5_ccache_conf_data/pa_config_data/krbtgt\/INT.VLANT.RU\@INT.VLANT.RU@X-CACHECONF: in KEYRING:persistent:0:0
[65712] 1738051054.882572: Storing test99@INT.VLANT.RU -> krbtgt/INT.VLANT.RU@INT.VLANT.RU in KEYRING:persistent:0:0
[65712] 1738051054.882573: Destroying ccache MEMORY:ZJiTwIS
root@arashi:/home/arashi# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: test99@INT.VLANT.RU

Valid starting       Expires              Service principal
01/28/2025 10:57:34  01/29/2025 10:29:24  krbtgt/INT.VLANT.RU@INT.VLANT.RU
]]> Tue, 28 Jan 2025 08:02:04 +0000 https://forum.rutoken.ru/post/27041/#p27041