- Драйверы для *nix
- Драйвер Рутокен S для GNU/Linux RPM 32-bit (x86)
- Драйвер Рутокен S для GNU/Linux RPM 64-bit (x64)
- Драйвер Рутокен S для GNU/Linux DEB 32-bit (x86)
- Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64)
- Драйвер Рутокен S для архитектуры MIPS (Байкал)
- Драйвер Рутокен S для GNU/Linux DEB ARM-64 (Байкал-М)
- Утилита администрирования Рутокен
- Введение
- Стенд
- Проверка модели токена
- Общий порядок действий
- 1 Устанавливаем необходимые пакеты и их зависимости:
- 2 Скачиваем и устанавливаем пакет для вашей системы
- 3 Проверяем работу токена или смарт-карты
- 4 Создаем ключевую пару
- 5 Создаем сертификат в формате PEM
- 6 Конвертируем сертификат из формата PEM в формат CRT (DER)
- 7 Сохраняем сертификат на аутентифицирующий носитель
- 8 Проверяем, что на токене есть всё, что необходимо
- 10 Редактируем конфигурацию аутентификации в системе
- 11 Редактируем конфигурацию pam_pkcs11
- 12 Добавляем связку сертификата на токене с пользователем системы ALT Linux.
- 13 Проверяем выполненные настройки
- 14 Настройка завершена!
- 15 Другие пользователи
Драйверы для *nix
С инструкциями и техническими рекомендациями по использованию продуктов и программного обеспечения Рутокен можно ознакомиться в разделе Документация .
Для работы электронных идентификаторов Рутокен в deb-based системе должны быть установлены: библиотека libccid не ниже 1.4.2, пакеты pcscd и libpcsclite1.
Для работы в RPM-based системе должны быть установлены: пакеты ccid, pcscd и pcsc-lite.
Драйверы для Рутокен ЭЦП в современных операционных системах GNU\Linux не требуются (версия libccid не ниже 1.4.2). Пользователям стабильных или устаревших дистрибутивов может потребоваться внести изменения в конфигурационный файл.
Драйверы для Рутокен Lite в современных операционных системах GNU\Linux не требуются (версия libccid не ниже 1.4.2). Пользователям стабильных или устаревших дистрибутивов может потребоваться внести изменения в конфигурационный файл.
Необходимо загрузить установочный скрипт, запустить его и следовать указаниям установщика. После завершения процесса установки необходимо подключить Рутокен S в свободный USB-порт.
Обратите внимание
Если для работы с Рутокен используется виртуальная ОС MS Windows, запущенная на компьютере c GNU/Linux, то устанавливать Драйверы Рутокен для Linux необязательно.
Драйвер Рутокен S для GNU/Linux также доступен в исходных кодах, которые можно загрузить здесь .
Драйвер Рутокен S для GNU/Linux RPM 32-bit (x86)
Версия: 1.0.4 от 11.02.2014 Поддерживаемые ОС: 32-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС
Драйвер Рутокен S для GNU/Linux RPM 64-bit (x64)
Версия: 1.0.4 от 11.02.2014 Поддерживаемые ОС: 64-разрядные Fedora/RedHat/Centos/AltLinux/Rosa/РЕД ОС
Драйвер Рутокен S для GNU/Linux DEB 32-bit (x86)
Драйвер Рутокен S для GNU/Linux DEB 64-bit (x64)
Драйвер Рутокен S для архитектуры MIPS (Байкал)
Драйвер Рутокен S для GNU/Linux DEB ARM-64 (Байкал-М)
Утилита администрирования Рутокен
Версия: 2.4 от 22.06.2022 Утилита rtAdmin предназначена для автоматизации процедур форматирования и администрирования Рутокен: смены метки токена, PIN-кодов и их параметров. Более подробная информация на Портале документации Рутокен .
Инструкции
Введение
В данной инструкции описывается, как настроить модуль pam_pkcs11 для работы с библиотекой librtpkcs11ecp.so .
Стенд
Нам понадобится токен или смарт-карта семейства Рутокен ЭЦП, отформатированные через Панель управления Рутокен.
Настройки для токена и смарт-карты идентичны.
Проверка модели токена
- Подключите USB-токен к компьютеру.
- Для определения названия модели USB-токена откройте Терминал и введите команду:
В результате в окне Терминала отобразится название модели USB-токена:
Убедитесь, что используете: Aktiv Rutoken ECP
Если вы используете смарт-карту Рутокен, то проверку проходить не требуется.
Общий порядок действий
1 Устанавливаем необходимые пакеты и их зависимости:
Для этого вы можете воспользоваться Терминалом:
# apt-get install opensc pam_pkcs11 pcsc-lite-ccid openssl-engine_pkcs11
Или из меню запустить Приложения — Системные — Программа управления пакетами Synaptic и используя быстрый поиск выбрать для установки пакеты:
2 Скачиваем и устанавливаем пакет для вашей системы
Если установка завершилась корректно, то в папке /usr/lib (или /usr/lib64) появится библиотека librtpkcs11ecp.so.
3 Проверяем работу токена или смарт-карты
Подключаем токен или смарт-карту к компьютеру. Запускаем dmesg и убедимся в том, что устройство определилось корректно.
Для 32-битной версии используйте команду:
Для 64-битной версии используйте команду:
4 Создаем ключевую пару
Если у вас уже имеется выписанная на токен ключевая пара RSA с привязанным к ней сертификатом, то вы можете использовать их для аутентификации.
Рекомендуемая длина ключа RSA — не ниже 2048 бит.
Действуйте по основной инструкции, пропустив шаги 4-8.
Внимание! При выполнении команды запрашивается PIN-код пользователя. Генерация ключевой пары может занять некоторое время.
Для 32-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib/librtpkcs11ecp.so —keypairgen —key-type rsa:2048 -l —id 45
Для 64-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib64/librtpkcs11ecp.so —keypairgen —key-type rsa:2048 -l —id 45
Утилита pkcs11-tool входит в состав opensc .
Параметры, задаваемые в этой строке:
определяет id создаваемого объекта (понадобится при создании сертификата)
5 Создаем сертификат в формате PEM
Запускаем openssl и подгружаем модуль поддержки pkcs11:
Для 32-битной версии используйте команду:
Для 64-битной версии используйте команду:
Создаем сертификат в PEM-формате. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.
OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.pem -text
6 Конвертируем сертификат из формата PEM в формат CRT (DER)
OpenSSL> x509 — in cert.pem -out cert.crt -outform DER
7 Сохраняем сертификат на аутентифицирующий носитель
Закрываем openssl (используя команду exit). Cохраняем сертификат CRT на Рутокен. Внимание! При выполнении этой команды запрашивается PIN-код пользователя.
Для 32-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib/librtpkcs11ecp .so -l -y cert -w cert.crt — id 45
Для 64-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib64/librtpkcs11ecp .so -l -y cert -w cert.crt — id 45
8 Проверяем, что на токене есть всё, что необходимо
Внимание! При выполнении команды запрашивается PIN-код пользователя.
Для 32-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib/librtpkcs11ecp .so -O -l
Для 64-битной версии используйте команду:
$ pkcs11-tool —module /usr/lib64/librtpkcs11ecp .so -O -l
9 Включаем аутентификацию по внешнему носителю
Потребуются права суперпользователя:
# rm /etc/pam.d/system-auth
# ln -s /etc/pam.d/system-auth-pkcs11 /etc/pam.d/system-auth
на вопрос об удалении ссылки следует ответить «y»
10 Редактируем конфигурацию аутентификации в системе
Отредактируем первую строку файла конфигурации /etc/pam.d/system-auth.
Внимание, приведенная ниже конфигурация является примером, а не эталоном настройки системы.
Для редактирования можно воспользоваться редактором pluma
Для 32-битной версии используйте строку:
auth [success=1 default=ignore] pam_pkcs11.so pkcs11_module= /usr/lib/librtpkcs11ecp .so
Для 64-битной версии используйте строку:
auth [success=1 default=ignore] pam_pkcs11.so pkcs11_module= /usr/lib64/librtpkcs11ecp .so
11 Редактируем конфигурацию pam_pkcs11
Отредактируем файл /etc/security/pam_pkcs11/pam_pkcs11.conf
Внимание, приведенная ниже конфигурация является примером, а не эталоном настройки системы.
Для редактирования можно воспользоваться редактором pluma
Для 32-битной версии используйте:
Для 64-битной версии замените строку
mapper_search_path = /lib/pam_pkcs11; на строку mapper_search_path = /lib64/pam_pkcs11;
12 Добавляем связку сертификата на токене с пользователем системы ALT Linux.
Добавляем сертификат в список доверенных сертификатов
$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid /authorized_certificates
$ chmod 0644 ~/.eid /authorized_certificates
13 Проверяем выполненные настройки
Проверьте, что настройка была выполнена верно, используя команду login. Не завершайте свою сессию, пока не убедитесь в том, что все работает корректно.
Если команда login выполняется успешно, то вы можете завершать свою сессию и использовать аутентификацию по токенам и смарт-картам Rutoken.
В случае возникновения ошибок еще раз проверьте все настройки. Для выявления проблемы вы так же можете включить вывод дополнительной информации при аутентификации.
- В файле pam_pkcs11.conf исправьте все строки вида «debug = false;», на строки «debug = true;».
- В конец второй строки файла конфигурации /etc/pam.d/system-auth добавьте слово «debug».
Не забудьте отключить вывод дополнительной информации после настройки системы.
14 Настройка завершена!
На этом настройка закончена. После перезапуска ОС окно входа в систему будет выглядеть так:
15 Другие пользователи
При необходимости добавить вход по токену для других пользователей следует:
1) Настроить другие токены аналогичным образом. Это рекомендуемый способ, так как политика «один токен — один пользователь», является предпочтительной.
2) Выписать другую пару ключей и сертификат на тот же токен. (иногда бывает удобно для периодической работы из под суперпользователя)
В обоих случаях в файле subject_mapping должно оказаться две (или несколько) записей.