Тема от Irman

  • Irman
  • Посетитель
  • Неактивен

Рутокен заблокировал mac os Catalina 10.15.7

Здравствуйте!

Столкнулся со следующей неприятной ситуацией. На mac os Catalina установил рекомендованные драйвера Рутокен, при подключении токена всплыло окно с предложением создать пару, что необходимо было подтвердить паролём от учётки администратора компьютера.

Пароль от учётки не прошёл (хотя одновременно в терминале всё прекрасно работало, прописывал рекомендованные команды типа sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true , которые так же требуют админский пароль, всё было в порядке). Решил перезагрузить комп и... Теперь и на стартовую загрузку пароль от учётки не опознаётся. Попробовал в режиме восстановления создать новую учётную запись (через удаление .AppleSetupDone), но и под новой учётной записью войти в систему не получается - пароль не опознаётся. При этом в режиме восстановления пароли к учёткам рабочие (при наличии нескольких учёток resetpassword предлагает выбрать ту учётку, от которой пароль известен - и там все настроенные пароли отлично работают).

Посоветуйте, пожалуйста, как можно вернуть работоспособность компа без переустановки системы с нуля? Может быть есть возможность в режиме восстановления через терминал удалить установленные драйвера (подозреваю именно их)? Если да - то где их найти и какие именно файлы нужно снести?

Спасибо заранее за помощь!

С уважением,
Максим

Ответ от Федосов Никита

  • Федосов Никита
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Добрый день, Irman.
Подскажите, пожалуйста,  по какой инструкции вы выполняли данный действия, и что вы хотели сделать данной командой ( sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true)

Ответ от Евгений Мироненко

  • Евгений Мироненко
  • Техническая поддержка
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Irman, добрый день!

Пока непонятно, как восстановить работу, но можем попробовать помочь. Не могли бы для начала попробовать в режиме восстановления выполнить и показать результат выполнения

sudo defaults read /Library/Preferences/com.apple.security.smartcard

У вас во время входа запрашивается пароль или пин-код от смарт-карты?

Допускаю, может помочь выполнение из режима восстановления

sudo sc_auth unpair -u <username>

Ответ от Irman

  • Irman
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Федосов Никита пишет:

Добрый день, Irman.
Подскажите, пожалуйста,  по какой инструкции вы выполняли данный действия, и что вы хотели сделать данной командой ( sudo defaults write /Library/Preferences/com.apple.security.smartcard Legacy -bool true)


внутренняя инструкция для привлекаемых сотрудников по настройке токена в mac OS. шаг после установки базовых сертификатов, предоставленных от компании. выполнял, честно скажу, отдельно не задумываясь, проходя по шагам :(

Ответ от Irman

  • Irman
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Евгений Мироненко пишет:

Irman, добрый день!

Пока непонятно, как восстановить работу, но можем попробовать помочь. Не могли бы для начала попробовать в режиме восстановления выполнить и показать результат выполнения

sudo defaults read /Library/Preferences/com.apple.security.smartcard

У вас во время входа запрашивается пароль или пин-код от смарт-карты?

Допускаю, может помочь выполнение из режима восстановления

sudo sc_auth unpair -u <username>

Во время входа показывает перечень пользователей, запрашивает пароль. Пин-код от токена тоже пробовал вводить, но это не помогло/не повлияло

В recovery mode такого файла в /Library/Preferences/ сейчас вообще не показывает :( Только com.apple.security

Я пробовал вручную через vi создать отдельно именно com.apple.security.smartcard - но при следующей перезагрузке он пропадает

sc_auth: command not found

https://forum.rutoken.ru/uploads/images/2024/07/d7641e8b77b533bf6a17a645f4220794.jpg
https://forum.rutoken.ru/uploads/images/2024/07/939c65868ac4e092615ab50dcd4050c2.jpg

Ответ от Евгений Мироненко

  • Евгений Мироненко
  • Техническая поддержка
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Добрый день!

Ситуация, в которую вы попали, действительно, очень неприятная.

Есть сомнения, что удаление драйверов чем-то поможет, как есть сомнения в том, что ошибка вызвана некорректным поведением ПО или оборудования Рутокен. На discussions.apple.com есть обращение, похожее на ваше, -- тоже без решения: https://discussions.apple.com/thread/254446852

Irman пишет:

sc_auth: command not found

Irman пишет:

В recovery mode такого файла в /Library/Preferences/ сейчас вообще не показывает :(

Это объяснимо и ожидаемо: насколько я помню, в Recovery mode запуск происходит с другого, специального раздела.

Доступ к основному разделу из Recovery как будто возможен; стоит попробовать воспользоваться рекомендациями отсюда: https://apple.stackexchange.com/a/35034 . Это позволит, по крайней мере, сохранить данные.

Помогут ли правки в /Library/Preferences/com.apple.security.smartcard? Думаю, нет, потому что настройку аутнетификации осуществляет sc_auth (это скрипт, внутри дергает /System/Library/Frameworks/CryptoTokenKit.framework/ctkbind.app/Contents/MacOS/ctkbind): в какой файл конфигурации вносятся изменения при замене входа по паролю на вход по смарт-карте, информации нет.

Если хотите еще сами поэкспериментировать, предложил бы после монтирования основного раздела из Recovery воспользоваться этими инструкциями: https://apple.stackexchange.com/a/437344 : после них выполнения есть шанс, что удастся вызвать sc_auth unpair (команда отсюда: https://support.apple.com/guide/deploym … de1e3/web)

Не знаю, возможно ли сейчас обращение в Apple Support, но, думаю, стоит попробовать и этот вектор решения.

Ответ от Irman

  • Irman
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

Спасибо большое за желание помочь!

В итоге я переустановил 10.15 на другой внутренний диск, пока ничем не нагружал, система "чистая", пробую ещё раз провести процедуру подключения токена:

Установил драйвера для macOS из соответствующего раздела
Скачал последнюю версию openSC и тоже установил
Вручную добавил файл com.apple.security.smartcard.plist с настройками userPairing, allowSmartCard, enableSmartCard, enforceSmartCard в true

проверил токен через pcsctest согласно рекомендациям с https://dev.rutoken.ru/pages/viewpage.a … ЦПвсистеме - всё видит, всё показывает, наличие сертификатов подтверждает, но.

Собственно, не происходит ключевого события при подключении токена к маку - диалога "Создать пару" не появляется (как отмечено и во внутренних инструкциях, и на странице https://dev.rutoken.ru/pages/viewpage.a … нтификации )

Появляется и тут же пропадет только короткое сообщение (видимо, от openSC?), что Smart card detected, при двойном клике на который меня перебрасывает в Keychain, но в нём нет дополнительного раздела, показанного на скриншотах, с сертификатами на токене.

Что ещё можно предпринять? :(

Ответ от Irman (2024-07-14 20:45:27 отредактировано Irman)

  • Irman
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

В дополнение к предыдущему сообщению:

pcsctest - PC/SC Test Completed Successfully !

system_profiler SPSmartCardsDataType :

SmartCards:

    Readers:

      #01: Aktiv Rutoken ECP (ATR:{length = 15, bytes = 0x3b8b015275746f6b656e20445320c1})

    Reader Drivers:

      #01: org.debian.alioth.pcsclite.smartcardccid:1.4.32 (/usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle)
      #02: fr.apdu.ccid.smartcardccid:1.5.0 (/Library/Aktiv Co/Rutoken CCID/drivers/ifd-ccid-rutoken.bundle)
      #03: com.SafeNet.eTokenIfdh:9.0.0.0 (/Library/Frameworks/eToken.framework/Versions/A/aks-ifdh.bundle)

    Tokend Drivers:

      #01: ru.rutoken.tokend:2.0 (/Library/Aktiv Co/Rutoken ECP/tokend/RTPKCS11.tokend)
      #02: com.Safenet.eTokend:9.0 (/Library/Security/tokend/eTokend.tokend)

    SmartCard Drivers:

      #01: com.gemalto.Gemalto-Smart-Card-Token.PKCS11-Token:1.0 (/Library/Frameworks/eToken.framework/Versions/A/SafeNet Authentication Client.app/Contents/PlugIns/PKCS11 Token.appex)
      #02: com.apple.CryptoTokenKit.pivtoken:1.0 (/System/Library/Frameworks/CryptoTokenKit.framework/PlugIns/pivtoken.appex)
      #03: org.opensc-project.mac.opensctoken.OpenSCTokenApp.OpenSCToken:1.1.1 (/Applications/Utilities/OpenSCTokenApp.app/Contents/PlugIns/OpenSCToken.appex)

    Available SmartCards (keychain):

        com.apple.setoken:aks:

    Available SmartCards (token):

        com.apple.setoken:aks:

pkcs11-tool --login --test :

Using slot 0 with a present token (0x0)
error: PKCS11 function C_GetTokenInfo failed: rv = CKR_TOKEN_NOT_RECOGNIZED (0xe1)
Aborting.

sc_auth list - пусто

sc_auth identities - пусто

sc_auth hash     
EE91F481CBA1A8A0AD87F08C8DED7FC0E69BF3DA com.apple.systemdefault
6B11F0CF67B31A97A91C650AB9DD8B7F2DE0E49A com.apple.kerberos.kdc
EE91F481CBA1A8A0AD87F08C8DED7FC0E69BF3DA com.apple.systemdefault
6B11F0CF67B31A97A91C650AB9DD8B7F2DE0E49A com.apple.kerberos.kdc

Ответ от Irman

  • Irman
  • Посетитель
  • Неактивен

Re: Рутокен заблокировал mac os Catalina 10.15.7

В общем, оно каким-то магическим образом всё-таки заработало :(

Снёс обратно установленные хелперы для отображения сертов с токена в кейчейне (https://forum.rutoken.ru/topic/3351/) , которые всё равно не работают на Каталине. Ещё несколько раз поперегружался, снёс-поставил обратно Рутокен для macOS и... при очередном подключении токена всё-таки всплыл диалог создания пары токена с пользователем и всё завелось...

Какая-то удивительная магия :(