Локальная аутентификация при помощи Рутокен ЭЦП в операционной системе ROSA Enterprise Linux Server

Материал из Rosalab Wiki
Версия от 05:52, 20 марта 2017; Vladimir.potapov (обсуждение | вклад) (Установка требуемых компонентов)

Перейти к: навигация, поиск

Начальные требования

Установленная система ROSA Enterprise Linux Server 6.8 в конфигурации «Стандартный сервер РОСА», доступ к репозиториям (для этого нужно использовать ключ, заранее полученный у службы поддержки, выполнив команду echo «<ключ>» > /etc/rosa-support-id-server с правами администратора). Необходимо устройство (любое из приведённых) Рутокен ЭЦП/Рутокен ЭЦП Flash или Рутокен ЭЦП SC вместе с ридером. На устройстве должен присутствовать контейнер с сертификатом в формате PKCS#12.

Применимость

В инструкции описаны установка и конфигурирование утилит для аутентификации с использование Рутокен ЭЦП для ROSA Enterprise Linux Server 6.8. Пример указан для Архитектуры AMD64, для 32-разрядной системы настройка и установка аналогичны с точностью до названий папок. В инструкции описана процедура, после выполнения которой аутентификация по Рутокен ЭЦП будет возможна, но не будет являться обязательной.

Установка требуемых компонентов

Установка требуемых и удаление конфликтующих утилит (требуются права администратора):

 su
 yum install ccid opensc pam_pkcs11 gdm-plugin-smartcard
 yum remove coolkey

Библиотека PKCS#11 для Рутокен ЭЦП (важно установить утилиты перед установкой библиотеки):

  • Заходим на сайт Рутокен: https://www.rutoken.ru/support/download/pkcs/
  • Открываем вкладку "Пользователям GNU/Linux" и нажимаем на ссылку "Библиотека rtPKCS11ecp для GNU/Linux RPM 64-bit (x64) "
  • Скачиваем и устанавливаем пакет (требуется пароль администратора)

Rutoken RELS1.png

Настройка системы

Проверка отображения устройства в системе и наличия на нём нужной информации

Запуск pcscd (требуются права администратора):

 su
 killall pcscd (отключение существующего процесса pcscd, если такой был)

С этого момента токен должен быть вставлен в соответствующий разъём

 pcscd -adfffff

Открываем отдельную вкладку или окно терминала и набираем в ней следующую команду:

 pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -T

В выводе должны быть видны параметры и название устройства. Пример вывода приведён ниже.

Rutoken RELS2.png

Проверим наличие на токене нужной информации при помощи следующей команды (требуется пароль от токена):

 pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -O -l

В выводе обязан присутствовать "Certificate Object". Такие параметры как ID и label могут отличаться от приведённых ниже.

Rutoken RELS3.png