Safenet authentication client linux gemalto

SafeNet Authentication Client (SAC) 10.8 R9 & Safenet Minidriver 10.8 R9 for Windows & SafeNet Authentication Client (SAC) 10.8 R2 for Mac – Release Announcement

We would like to announce the releases of SafeNet Authentication Client (SAC) 10.8 R9 & Safenet Minidriver 10.8 R9 for Windows & SafeNet Authentication Client (SAC) 10.8 R2 for Mac. These releases feature the following: SafeNet Authentication Client (SAC) 10.8 R9 for Windows Additional languages support: Swedish and Bulgarian SafeNet…

SafeNet IDPrime Virtual Server & Client 2.3 – Release Announcement

We would like to announce the release of SafeNet IDPrime Virtual Server & Client 2.3. This new version features the following: Support for new IdPs: SAS PCE with Keycloak Agent , Okta and Ping Federate Support for new version of Luna 7.7 with SKS Support for User Private Key creation…

SafeNet Authentication Client (SAC) 10.8 R8 for Windows and 10.8 R1 for Linux & SafeNet Minidriver 10.8 R8 – Release Announcement

We would like to announce the release of SafeNet Authentication Client (SAC) 10.8 R8 for Windows and 10.8 R1 for Linux & SafeNet Minidriver 10.8 R8. These releases feature the following: SafeNet Authentication Client (SAC) 10.8 R8 for Windows Configurable Policy Settings to display the info printed on the…

SafeNet eToken 5110+ CC (940B)– Release Announcement

SafeNet eToken 5110+ CC (940B)– Release Announcement As part of our ongoing efforts to address the component shortage and ensure ongoing inventory, we are releasing the SafeNet eToken 5110+ CC (940B). This token, based on SafeNet IDPrime 940B offers the same features as the SafeNet eToken 5110+CC (940). Note: The…

SafeNet Authentication Client (SAC) 10.8 R6 Post GA (2) & SafeNet Minidriver 10.8 R6 Post GA (2) – Release Announcement

We would like to announce the release of SafeNet Authentication Client (SAC) 10.8 R6 Post GA (2) and SafeNet Minidriver 10.8 R6 Post GA (2). This releases features the following: SafeNet Authentication Client (SAC) 10.8 R6 Post GA (2) Performance improvements for PKI operations on Thunderbird and Firefox Added support…

SafeNet Authentication Client (SAC) 10.8 R1 for Mac – Release Announcement

We would like to announce the release of SafeNet Authentication Client (SAC) 10.8 R1 for Mac. This release features the following: Support for macOS 11.6.2 (Big Sur) and macOS 12.1 (Monterey) Provides SAC Core (SAC without UI) package and installation instructions Provides SAC native support for ARM/M1 Provides CCID driver…

SafeNet Authentication Client (SAC) 10.8 R6 for Windows & SafeNet Minidriver 10.8 R6 for Windows – Release Update

We would like to announce the releases of SafeNet Authentication Client (SAC) 10.8 R6 for Windows and SafeNet Minidriver 10.8 R6 for Windows. Both versions resolve known issues and feature the following: Improvements to Customization Tool Windows 11 Support Installation/Uninstallation Improvements Support for SafeNet eToken 5300-C Known Issues For more…

SafeNet Authentication Client (SAC) 10.8 for Linux – Release Announcement

We would like to announce the release of SafeNet Authentication Client (SAC) 10.8 for Linux. This new release features the following: Rebranding to Thales Support for latest version for Ubuntu (v20.04), Red Hat (v8.3), Fedora (v34) and Cent OS (v8.3) Support for SafeNet IDPrime 930/3930 and SafeNet IDPrime 3940 FIDO…

SAC 10.8 R5 for Windows | SAC Low Level SDK 1.6.2 | SafeNet Minidriver 10.8 R3 for Windows – Release Update

We would like to announce the following releases: SafeNet Authentication Client (SAC) 10.8 R5 for Windows This new version features the following and resolves known issues: Improvements in the initialization flow of IDPrime devices Support for managing PIN Policy settings in SAC customization tool Additional functionality in the new installer…

SafeNet Authentication Client (SAC) 10.8 for Mac – Release Announcement

We would like to announce the release of SafeNet Authentication Client (SAC) 10.8 for Mac. This new release features the following: Rebranding to Thales Support for latest version for Mac OS – Big Sur 11.4 and Catalina 10.15.7 Support for ARM and already supported Intel with above mentioned macOS versions…

Источник

SafeNet Authentication Client

Для того, чтобы прикладные приложения могли работать с токенами (зашифровать и расшифровывать данные, вычислять хэши и цифровые подписи, генерировать и хранить ключи и цифровые сертификаты) необходимо промежуточное программное обеспечение, включающее в себя криптопровайдеры, драйверы оборудования, а также интерфейс пользователя для обслуживания токенов (например, смены PIN-кода). В качестве промежуточного ПО для аппаратных токенов Thales можно использовать либо базовый минидрайвер для встроенного в Windows криптопровайдера, либо полнофункциональный клиент SafeNet Authentication Client.

Программный пакет SafeNet Authentication Client (SAC) – это набор драйверов и дополнительных утилит для работы с USB-ключами и смарт-картами производства компании Thales. Он предоставляет приложениям интерфейсы Microsoft CAPI и PKCS#11, тем самым обеспечивая прозрачный доступ любых стандартных приложений безопасности на основе сертификатов к ключам eToken и смарт-картам. Собственный криптопровайдер SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи непосредственно в аппаратных токенах, что снижает риск компрометации секретов. Поддержка виртуальной клавиатуры позволяет отказаться от ввода PIN-кода на физической клавиатуре, обеспечивая защиту от кейлоггеров.

SafeNet Authentication Client сохраняет полную обратную совместимость и функциональность своих предыдущих версий, поддерживает все актуальные и недавно снятые с производства модели USB-ключей eToken и смарт-карт IDPrime, а также ряда сторонних устройств. С его помощью можно обеспечить одновременную поддержу различных механизмов информационной безопасности, включая создание и проверку цифровых подписей, доверенную загрузку компьютера, шифрование дисков и электронной почты. На базе SAC можно построить систему строгой двухфакторной аутентификации на основе цифровых сертификатов и использовать аппаратные токены для защиты входа на локальные компьютеры, удаленного доступа в корпоративную сеть, доступа к прикладным программам и веб-ресурсам.

SafeNet Authentication Client поддерживает платформы Windows, Linux и macOS в едином пользовательском интерфейсе, что позволяет реализовать единую непрерывную среду для приложений на основе инфраструктуры открытых ключей. SAC включает в себя необходимый набор инструментов для локального администрирования, благодаря которому пользователи могут сами управлять своими токенами и цифровыми сертификатами, снижая тем самым нагрузку на администраторов.

Ключевые преимущества

• Стандартные API для совместимости с приложениями безопасности на базе PKI
• Собственный криптопровайдер с выполнением операций внутри токена
• Поддержка виртуальных клавиатур для ввода PIN-кода
• Совместимость с широким спектром токенов
• Единый пользовательский интерфейс на Windows, Linux и macOS
• Полный набор инструментов для локального администрирования

Источник

Установка

Для выполнения действий данной инструкции необходимо установить следующие пакеты из репозитория Astra Linux:

• библиотека libccid
• пакеты libpcsclite1 и pcscd;
• opensc

Для установки в терминале введите команду:

sudo apt install libccid pcscd libpcsclite1 opensc libengine-pkcs11-openssl*

Установка SafeNet Authentication Client

SafeNet Authentication Client – это программный клиент, который позволяет взаимодействовать прикладному программному обеспечению с электронными ключами и смарт-картами eToken производства компании Gemalto. Помимо набора драйверов и интерфейсов для взаимодействия Safenet Authentication Client включает необходимый набор функций для организации локального администрирования электронных ключей и смарт-карт.

Сам клиент следует загрузить с официального сайта Gemalto

После загрузки клиента с офф. сайта, его следует установить. Для этого введите команду:

sudo dpkg -i SafenetAuthenticationClient-amd64.deb

Если при запуске SafeNet Authentication client возникает ошибка:

CRYPTO/Crypto.c:247: init_openssl_crypto: Assertion lib failed.

то для корректной работы, следует создать символическую ссылку на нужную библиотеку. Для этого в терминале, нужно ввести команду:

Проверка работы eToken в системе

Для проверки работы Etoken:

Подключите устройство к компьютеру.

Способ №1

pkcs11-tool --module /usr/lib/libeToken.so -T

Способ №2

Выберите в Меню «Пуск» → «Прочие» → «SafeNet Authentication Сlient Tools» и подключите токен. После чего должна отобразиться информация о подключенном токене:

Инициализация токена eToken

Для инициализации токена необходимо воспользоваться утилитой pkcs11-tool.

pkcs11-tool --login --init-token --label "eToken Astra" --init-pin 12345678 --module /usr/lib/libeToken.so

—slot 0 — указывает в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.

—init-token – команда инициализации токена.

—pin — пин код пользователя.

—label ‘eToken Astra’ — метка(название) устройства.

—module — указывает путь до библиотеки eToken

или в SafeNet Authentication Сlient Tools выбрать кнопку «инициализировать токен».

Внимание! Инициализация устройства удалит все данные на eToken без возможности восстановления.

Создание ключевой пары RSA

Для генерации ключевой пары RSA в терминале следует ввести команду:

pkcs11-tool —slot 0 —login —pin 12345678 —keypairgen —key-type rsa:2048 —id 16 —label «rsa key» —module /usr/lib/libeToken.so

Создание самоподписанного сертификата

Для создания самоподписанного сертификата в терминале следует ввести команду:

engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/libeToken.so

после чего ввести команду:

req -engine pkcs11 -new -key 0:16 -keyform engine -x509 -out test.pem -text

В поле Common Name должно быть указано имя пользователя ОС.

Загрузка сертификата на токен

Создав свой личный сертификат, его следует загрузить на eToken.

Перекодируем полученный сертификат из PEM в DER:

pkcs11-tool —slot 0 —login —pin 12345678 —write-object test.cer —type ‘cert’ —label ‘Certificate’ —id 16 —module /usr/lib/libeToken.so

(или с помощью графической утилиты SACTool)

Проверка ключей и сертификатов в eToken:

Локальная аутентификация в Astra Linux по eToken

Установка дополнительный пакетов

Пуск — Настройки — Менеджер пакетов

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:

либо воспользовавшись терминалом FLY:

sudo apt-get install libp11-2 libpam-p11

Конвертируем сертификат в текстовый формат

openssl x509 -in .crt -out .pem -inform DER -outform PEM

где — имя файла, в котором сохранен ваш сертификат из токена в текстовом формате

Теперь нам необходимо прочитать с токена сертификат с нужным ID и записать его в файл доверенных сертификатов:
Добавляем сертификат в список доверенных сертификатов:

mkdir ~/.eid
chmod 0755 ~/.eid
cat .pem >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для привязки токена к определенному пользователю необходимо указать его домашнюю директорию, например таким образом:

mkdir /home/user/.eid
chmod 0755 /home/user/.eid
cat  >> /home/user/.eid/authorized_certificates

chmod 0644 /home/user/.eid/authorized_certificates

Важно помнить, что при регистрации нескольких токенов на одном компьютере необходимо указывать пользователям раличные id.

Настраиваем аутентификацию

Пуск — утилиты — Терминал Fly

sudo nano /usr/share/pam-configs/p11

записываем в файл следующую информацию:

Name: Pam_p11
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient pam_p11_opensc.so /usr/lib/libeToken.so

сохраняем файл, нажимаем Alt + X, а затем Y
после этого выполняем

Вход по токену

Пуск — утилиты — Терминал Fly

Вход выполняется с подключенным токеном к компьютеру. В момент ввода пароля будет сообщено, что требуется .

Источник