Главная » Linux

Astra linux safenet authentication client

На чтение 10 мин Просмотров 8 Опубликовано
Содержание
  1. SafeNet Authentication Client
  2. Ключевые преимущества
  3. Установка
  4. Установка SafeNet Authentication Client
  5. Проверка работы eToken в системе
  6. Способ №1
  7. Способ №2
  8. Инициализация токена eToken
  9. Создание ключевой пары RSA
  10. Создание самоподписанного сертификата
  11. Загрузка сертификата на токен
  12. Локальная аутентификация в Astra Linux по eToken
  13. Установка дополнительный пакетов
  14. Настраиваем аутентификацию
  15. Вход по токену
  16. Настройка eToken на Линукс
  17. Добавить комментарий Отменить ответ

SafeNet Authentication Client

Для того, чтобы прикладные приложения могли работать с токенами (зашифровать и расшифровывать данные, вычислять хэши и цифровые подписи, генерировать и хранить ключи и цифровые сертификаты) необходимо промежуточное программное обеспечение, включающее в себя криптопровайдеры, драйверы оборудования, а также интерфейс пользователя для обслуживания токенов (например, смены PIN-кода). В качестве промежуточного ПО для аппаратных токенов Thales можно использовать либо базовый минидрайвер для встроенного в Windows криптопровайдера, либо полнофункциональный клиент SafeNet Authentication Client.

Программный пакет SafeNet Authentication Client (SAC) – это набор драйверов и дополнительных утилит для работы с USB-ключами и смарт-картами производства компании Thales. Он предоставляет приложениям интерфейсы Microsoft CAPI и PKCS#11, тем самым обеспечивая прозрачный доступ любых стандартных приложений безопасности на основе сертификатов к ключам eToken и смарт-картам. Собственный криптопровайдер SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи непосредственно в аппаратных токенах, что снижает риск компрометации секретов. Поддержка виртуальной клавиатуры позволяет отказаться от ввода PIN-кода на физической клавиатуре, обеспечивая защиту от кейлоггеров.

SafeNet Authentication Client сохраняет полную обратную совместимость и функциональность своих предыдущих версий, поддерживает все актуальные и недавно снятые с производства модели USB-ключей eToken и смарт-карт IDPrime, а также ряда сторонних устройств. С его помощью можно обеспечить одновременную поддержу различных механизмов информационной безопасности, включая создание и проверку цифровых подписей, доверенную загрузку компьютера, шифрование дисков и электронной почты. На базе SAC можно построить систему строгой двухфакторной аутентификации на основе цифровых сертификатов и использовать аппаратные токены для защиты входа на локальные компьютеры, удаленного доступа в корпоративную сеть, доступа к прикладным программам и веб-ресурсам.

SafeNet Authentication Client поддерживает платформы Windows, Linux и macOS в едином пользовательском интерфейсе, что позволяет реализовать единую непрерывную среду для приложений на основе инфраструктуры открытых ключей. SAC включает в себя необходимый набор инструментов для локального администрирования, благодаря которому пользователи могут сами управлять своими токенами и цифровыми сертификатами, снижая тем самым нагрузку на администраторов.

Ключевые преимущества

  • Стандартные API для совместимости с приложениями безопасности на базе PKI
  • Собственный криптопровайдер с выполнением операций внутри токена
  • Поддержка виртуальных клавиатур для ввода PIN-кода
  • Совместимость с широким спектром токенов
  • Единый пользовательский интерфейс на Windows, Linux и macOS
  • Полный набор инструментов для локального администрирования

Источник

Установка

Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:

  • библиотека libccid
  • пакеты libpcsclite1 и pcscd;
  • opensc

Для установки в терминале введите команду:

sudo apt install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*

Установка SafeNet Authentication Client

SafeNet Authentication Client – это программный клиент, который позволяет взаимодействовать прикладному программному обеспечению с электронными ключами и смарт-картами eToken производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия Safenet Authentication Client включает необходимый набор функций для организации локального администрирования электронных ключей и смарт-карт.

Сам клиент следует загрузить с официального сайта Gemalto

После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:

sudo dpkg -i SafenetAuthenticationClient-amd64.deb

Если при запуске SafeNet Authentication client возникает ошибка:

CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.

то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:

Проверка работы eToken в системе

Для проверки работы Etoken:

Подключите устройство к компьютеру.

Способ №1

pkcs11-tool --module /usr/lib/libeToken.so -T

Способ №2

Выберите в Меню «Пуск» → «Прочие» → «SafeNet Authentication Сlient Tools» и подключите токен. После чего должна отобразиться информация о подключенном токене:

Инициализация токена eToken

Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.

pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so

—slot 0 — указывает в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.

—init-token – команда инициализации токена.

—pin — пин код пользователя.

—label ‘eToken Astra’ — метка(название) устройства.

—module — указывает путь до библиотеки eToken

или в SafeNet Authentication Сlient Tools выбрать кнопку «инициализировать токен».

Внимание! Инициализация устройства удалит все данные на eToken без возможности восстановления.

Создание ключевой пары RSA

Для генерации ключевой пары RSA в терминале следует ввести команду:

pkcs11-tool —slot 0 —login —pin 12345678 —keypairgen —key-type rsa:2048 —id 16 —label «rsa key» —module /usr/lib/libeToken.so

Создание самоподписанного сертификата

Для создания самоподписанного сертификата в терминале следует ввести команду:

engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libeToken.so

после чего ввести команду:

req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text

В поле Common Name должно быть указано имя пользователя ОС.

Загрузка сертификата на токен

Создав свой личный сертификат, его следует загрузить на eToken.

Перекодируем полученный сертификат из PEM в DER:

pkcs11-tool —slot 0 —login —pin 12345678 —write-object test.cer —type ‘cert’ —label ‘Certificate’ —id 16 —module /usr/lib/libeToken.so

(или с помощью графической утилиты SACTool)

Проверка ключей и сертификатов в eToken:

Локальная аутентификация в Astra Linux по eToken

Установка дополнительный пакетов

Пуск — Настройки — Менеджер пакетов

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:

либо воспользовавшись терминалом FLY:

sudo apt-get install libp11-2 libpam-p11

Конвертируем сертификат в текстовый формат

openssl x509 -in .crt -out .pem -inform DER -outform PEM

где — имя файла, в котором сохранен ваш сертификат из токена в текстовом формате

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat .pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat  >> /home/user/.eid/authorized_certificates
chmod 0644 /home/user/.eid/authorized_certificates

Важно помнить, что при регистрации нескольких токенов на одном компьютере необходимо указывать пользователям раличные id.

Настраиваем аутентификацию

Пуск — утилиты — Терминал Fly

sudo nano /usr/share/pam-configs/p11

записываем в файл следующую информацию:

Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/libeToken.so

сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем

Вход по токену

Пуск — утилиты — Терминал Fly

Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется .

Источник

Настройка eToken на Линукс

Расскажу как поставить клиент-банк банка Промсвязьбанк на Линукс.

Для начала настраивается работа с eToken, который вы должны получить в банке вместе с памяткой 😉
Делается всё по инструкции самого банка: вот тут вот она

1. Установка (обновление) Java.

Сначала убедитесь, что у вас Java требует обновления (то есть не установлена вовсе либо установлена не очень свежая версия). Для этого в браузере Mozilla Firefox откройте Инструменты->Дополнения->Плагины

Перво-наперво скачиваем свежую версию. Например тут

Далее начинаем «устанавливать». Для Java это означает, что вы должны выбрать какой-нибудь каталог, куда распакуете содержимое скачанного архива. Пусть это будет /usr/java После чего нужно положить ссылку на файл плагина в папку с плагинами браузера. Найти ее не так то просто ) Хорошо, если у вас какая-то версия Java уже есть. Тогда делаем такую команду:

Мы увидим приблизительно такую картину:
/etc/alternatives/libnpjp2.so
/usr/lib/jvm/java-7-oracle/jre/lib/i386/libnpjp2.so
/usr/lib/mozilla/plugins/libnpjp2.so
/var/lib/dpkg/alternatives/libnpjp2.so

Отсюда понятно, что папка, в которой содержатся плагины фаерфокса в нашем линуксе — /usr/lib/mozilla/plugins/
Удалим ссылку на старую версию Java и создадим ссылку на новую (сам процесс установки):

cd /usr/lib/mozilla/plugins/ rm libnpjp2.so ln -s /usr/java/lib/i386/libnpjp2.so

2. Установка драйвера SafeNet Authentication Client 8.3 для Linux

Скачиваем по ссылке из инструкции с сайта банка (см. выше), разархивируем.
Выбираем нужный .deb — пакет в зависимости от архитектуры (32 или 64 bit)
Кликаем на него. В открывшемся окне жмём кнопку «Установить».

У меня с этим возникли сложности: установщик ругался на наличие другого пакета в системе, который мешал:

Распаковывается пакет safenetauthenticationclient (из файла SafenetAuthenticationClient-8.3.34-0_i386.deb)…
dpkg: не удалось обработать параметр SafenetAuthenticationClient-8.3.34-0_i386.deb (—install):
попытка перезаписать «/etc/eToken.common.conf», который уже имеется в пакете pkiclient 5.00.59-0
dpkg-deb: ошибка: подпроцесс вставка уничтожен по сигналу (Обрыв канала)
Обрабатываются триггеры для libc-bin …
ldconfig deferred processing now taking place
При обработке следующих пакетов произошли ошибки:
SafenetAuthenticationClient-8.3.34-0_i386.deb

Решено было действовать кардинально — удалить мешающийся пакет:

Далее повторяем установку. Должно пройти удачно.

Теперь коротенечко, без лишних скриншотов перескажу инструкцию настройки данного пакета.

3. Настраиваем SafeNet Authentication Client
(кстати, непонятно, почему в банке приложение называют драйвером, ну да Бог с ними)

В конец раздела [GENERAL] добавляем:
TolerantX509Attributes=1
Закрываем редактор.
Можно запустить SafeNet Authentication Client и подключить eToken к компьютеру. Он должен увидеться.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Оцените статью
© 2023 Posetke
Adblock
detector