использование двух-факторной аутентификации

ingener

New member
Сообщения
6
#1
не могу добиться авторизации доменных пользователей с использованием Rutoken ЭЦП 2.0 . все проверил не один раз!
аутентификация локального пользователя проходит на УРА. уже залез в дебри протокола Kerberos, pam
и остается пока неясным вопрос - как привязан пользователь к сертификату?
 
Сообщения
6
#3
Добрый день, есть инструкция, но она немного старовата https://wiki.astralinux.ru/pages/viewpage.action?pageId=3278014
я эту инструкцию перечитал вдоль и поперек!
у меня складывается впечатление, что проблема с Rutoken, и аргументом здесь ошибка при выполнении команды:
vvv@test:~$ pkcs15-init -G rsa/2048 --auth-id 02 --id 3b --label "testuser's key" --public-key-label "testuser's public key"
Using reader with a card: Generic CCID Reader 00 00
User PIN [User PIN] required.
Please enter User PIN [User PIN]:
Failed to generate key: Incorrect parameters in APDU

а вот если генерировать ключ командой
pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 3b
все проходит без ошибок, только аутентификации по Rutoken нет. задал этот вопрос Рутокену
 
Сообщения
6
#4
первую проблему удалось решить - оказалось, что версия opensc не поддерживает криптографические механизмы новой карты Rutoken. в Astra Linux стоит 0.12.2.
на сегодняшний день на сайте разработчика уже есть версия 0.18.0. инсталляция описана здесь https://github.com/OpenSC/OpenSC/wiki/Compiling-and-Installing-on-Unix-flavors
однако, после обновления пакета появилась новая проблема - при генерации запроса на сертификат openssl не находит ключ. утилита pksc15-tool показывает новую сущность на Rutoken - секретный ключ. а то что сгенерировано командой pkcs15-init -G rsa/2048 ... на Rutoken имеется но с сущностью частный ключ.
 
Сообщения
6
#7
с генерацией ключа и записью сертификата на рутокен с использованием утилиты pkcs15 наверное разобрался. теперь при выполнении команды kinit выдается ошибка
KDC name mismatch while getting initial credentials
причем система не предлагает ввести пароль после неуспешной аутентификации