Локальная аутентификация при помощи Рутокен ЭЦП в операционной системе ROSA Enterprise Linux Server — различия между версиями
(Новая страница: «== Начальные требования == Установленная система ROSA Enterprise Linux Server 6.8 в конфигурации «Станд…») |
(→Установка требуемых компонентов) |
||
Строка 16: | Строка 16: | ||
* Открываем вкладку "Пользователям GNU/Linux" и нажимаем на ссылку "Библиотека rtPKCS11ecp для GNU/Linux RPM 64-bit (x64) " | * Открываем вкладку "Пользователям GNU/Linux" и нажимаем на ссылку "Библиотека rtPKCS11ecp для GNU/Linux RPM 64-bit (x64) " | ||
* Скачиваем и устанавливаем пакет (требуется пароль администратора) | * Скачиваем и устанавливаем пакет (требуется пароль администратора) | ||
+ | [[File:Rutoken RELS1.png]] | ||
+ | |||
+ | == Настройка системы == | ||
+ | === Проверка отображения устройства в системе и наличия на нём нужной информации === | ||
+ | Запуск pcscd (требуются права администратора): | ||
+ | '''su''' | ||
+ | '''killall pcscd''' (отключение существующего процесса pcscd, если такой был) | ||
+ | С этого момента токен должен быть вставлен в соответствующий разъём | ||
+ | '''pcscd -adfffff''' | ||
+ | Открываем отдельную вкладку или окно терминала и набираем в ней следующую команду: | ||
+ | '''pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T''' | ||
+ | В выводе должны быть видны параметры и название устройства. Пример вывода приведён ниже. | ||
+ | |||
+ | [[File:Rutoken RELS2.png|Rutoken RELS2.png]] | ||
+ | |||
+ | Проверим наличие на токене нужной информации при помощи следующей команды (требуется пароль от токена): | ||
+ | '''pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l''' | ||
+ | В выводе обязан присутствовать ''"Certificate Object"''. Такие параметры как ''ID'' и ''label'' могут отличаться от приведённых ниже. | ||
+ | |||
+ | [[File:Rutoken RELS3.png]] |
Версия 05:52, 20 марта 2017
Содержание
Начальные требования
Установленная система ROSA Enterprise Linux Server 6.8 в конфигурации «Стандартный сервер РОСА», доступ к репозиториям (для этого нужно использовать ключ, заранее полученный у службы поддержки, выполнив команду echo «<ключ>» > /etc/rosa-support-id-server с правами администратора). Необходимо устройство (любое из приведённых) Рутокен ЭЦП/Рутокен ЭЦП Flash или Рутокен ЭЦП SC вместе с ридером. На устройстве должен присутствовать контейнер с сертификатом в формате PKCS#12.
Применимость
В инструкции описаны установка и конфигурирование утилит для аутентификации с использование Рутокен ЭЦП для ROSA Enterprise Linux Server 6.8. Пример указан для Архитектуры AMD64, для 32-разрядной системы настройка и установка аналогичны с точностью до названий папок. В инструкции описана процедура, после выполнения которой аутентификация по Рутокен ЭЦП будет возможна, но не будет являться обязательной.
Установка требуемых компонентов
Установка требуемых и удаление конфликтующих утилит (требуются права администратора):
su yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard yum remove coolkey
Библиотека PKCS#11 для Рутокен ЭЦП (важно установить утилиты перед установкой библиотеки):
- Заходим на сайт Рутокен: https://www.rutoken.ru/support/download/pkcs/
- Открываем вкладку "Пользователям GNU/Linux" и нажимаем на ссылку "Библиотека rtPKCS11ecp для GNU/Linux RPM 64-bit (x64) "
- Скачиваем и устанавливаем пакет (требуется пароль администратора)
Настройка системы
Проверка отображения устройства в системе и наличия на нём нужной информации
Запуск pcscd (требуются права администратора):
su killall pcscd (отключение существующего процесса pcscd, если такой был)
С этого момента токен должен быть вставлен в соответствующий разъём
pcscd -adfffff
Открываем отдельную вкладку или окно терминала и набираем в ней следующую команду:
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T
В выводе должны быть видны параметры и название устройства. Пример вывода приведён ниже.
Проверим наличие на токене нужной информации при помощи следующей команды (требуется пароль от токена):
pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l
В выводе обязан присутствовать "Certificate Object". Такие параметры как ID и label могут отличаться от приведённых ниже.