Тема от ZeroCool

  • ZeroCool
  • Посетитель
  • Неактивен

Не могу настроить вход пользователя через рутокен...

Проблема такая, нужно настроить вход в линукс с рутокена, с записаным на него сертификатом.
Вводимы команды:
pkcs15-init -E
pkcs15-init -C --so-pin "12345678" --so-puk ""
pkcs15-init -P --pin "1234" --puk "" --auth-id 02 --label "Users PIN" -F
pkcs15-init -G rsa/248 --auth-id 02 --id 45
openssl
engine dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:opensc-pkcs11.so
req -engine pkcs11 -new -key 1:45 -keyform engine -out user.csr -text
файл user.csr мне подписывают и присылают user.crt
Сохраняю сертификат на токене:
pkcs15-init -X [путь]/user.crt --id 45
Прописываю аутентификацию:
pkcs15-tool -r 45 > /home/user/.eid/authorized_certificates
Еще есть одна команда смысла которой я не пойму:
pkcs15-tool -r 45 > /var/mac_home/home/user/mac/1/0/.eid/authorized_certificates
Вроде как после этого я должен войти с рутокеном в пользователя, но пишется Вход невозможен.
Может кто нибудь может подсказать в чём проблема?

Ответ от Vermin

  • Vermin
  • Посетитель
  • Неактивен

Re: Не могу настроить вход пользователя через рутокен...

Здравствуйте.
Подскажите, пожалуйста, как вы сконфигурировали PAM.

И появляется ли данная проблема при подключении токена до загрузки компьютера?

Ответ от ZeroCool

  • ZeroCool
  • Посетитель
  • Неактивен

Re: Не могу настроить вход пользователя через рутокен...

Pam сконфигурирован на вход через unix и Pam_p11,
Вход невозможен даже если токен воткнуть до загрузки компьютера, токены пробовал разные, все ЕЦП.
Вопрос: есть ли разница принципиальная в записи сертификата на токен в этих командах:
pkcs15-init -X [путь]/user.crt --id 45 или
pkcs15-init -X [путь]/user.crt --auth-id 02 --id 45

При вводе pin на входе в линукс токен мигает секунды 3-4, потом пишет Вход невозможен.
Если создаю самоподписаный сертификат и прописываю его то входит без проблем.

Ответ от Vermin

  • Vermin
  • Посетитель
  • Неактивен

Re: Не могу настроить вход пользователя через рутокен...

Если в случае самоподписанного сертификата у вас все работает, то вероятно проблема в отсутствии корневого сертификата того, кто вам его подписывает.

Касаемо указания ID пин-кода - а что вы получаете в обоих случаях?

Ответ от ZeroCool

  • ZeroCool
  • Посетитель
  • Неактивен

Re: Не могу настроить вход пользователя через рутокен...

С сертификатом вроде как всё нормально. По обоим командам показывает что сертификат удачно записан на токен, а что это за идентификатор вообще? Я вычитал еще информацию, что сертификат crt предназначен для авторизации входа на http, возможно что по нему вообще не получится авторизироваться в линукс, т.к. он для этого не предназначен?

Ответ от Vermin

  • Vermin
  • Посетитель
  • Неактивен

Re: Не могу настроить вход пользователя через рутокен...

Для функционирования аутентификации мало того, чтобы сертификат был установлен на токен, он еще должен быть доверенным.
Доверенным сертификат является, если он подписан доверенным CA. CA является доверенным, если в системе установлен его корневой сертификат.
То есть, вам нужен корневой сертификат CA, который вам его подписывает.

Предназначение сертификата определяется его идентификатором OID, имеющим вид, к примеру, 1.3.6.1.5.5.7.3.
Если сертификат используется для аутентификации на веб сервисе (то есть имеет OID соответствующий проверке подлинности клиента), то он может использоваться и для логона. Но его, например, нельзя использовать для защиты электронной почты.