У нас есть Aladdin eToken Pro 32k от

компании Aladdin и Debian GNU/Linux 4.0 Etch.

При работе с eToken Pro можно использовать один из двух

методов:

1. Работа через opensc и openct по стандарту PKCS#15

1. Работа через демон от Aladdin по их протоколу

Мы будем использовать PKCS#15.

Инициализация eToken

Сначала устанавливаем opensc и openct для

доступа к смарт-карте.

> sudo aptitude install opensc openct

Список поддерживаемых карт можно посмотреть на

официальном сайте.

Сначала eToken нужно отформатировать и инициализировать в Windows. Это

нужно потому что драйвер от Aladdin и Open SC используют разные

структуры данных. Кроме того форматирование из Windows с помощью

программы от Aladdin форматирует весь eToken, а Open SC стирает только

структуру PKCS#15.

Поэтому если хочется использовать eToken в Windows и Linux

одновременно то сначала его нужно отформатировать и инициализировать в

Windows, а потом инициализировать в Linux с помощью Open SC.

Теперь вставляем eToken и смотрим определился ли он:

# openct-tool list 0 Aladdin eToken PRO

Запоминаем идентификатор ключа (0) – он нам в дальнейшем понадобится.

Теперь создадим структуру PKCS#15 на eToken

# pkcs15-init --create-pkcs15 --label 'Maksym Tiurin eToken' --reader 0 New Security Officer PIN (Optional - press return for no PIN). Please enter Security Officer PIN: Please type again to verify: Unblock Code for New User PIN (Optional - press return for no PIN). Please enter User unblocking PIN (PUK): Please type again to verify:

Если eToken не будет использоваться в Microsoft Windows то создаем

структуру PKCS#15 и форматируем токен.

# pkcs15-init --erase-card --create-pkcs15 --label 'Maksym Tiurin eToken' --reader 0 New Security Officer PIN (Optional - press return for no PIN). Please enter Security Officer PIN: Please type again to verify: Unblock Code for New User PIN (Optional - press return for no PIN). Please enter User unblocking PIN (PUK): Please type again to verify:

вводим PIN для Secirity Officer (SO PIN) и PUK для Security Officer

(максимум 8 символов).

SO PIN будет нужен для создания профилей.

SO PUK будет нужен для разблокирования профилей.

Теперь создаем сертификат x509 в Tiny CA 2 (RSA 1024bit, SHA1 digest)

и экспортируем его в формате PKCS#12 вместе с ключом (ставим галочку

«Include Key (PEM)"). Не забываем отключить вставку в PKCS#12 сертификата CA.

Теперь создаем профиль на eToken:

# pkcs15-init --store-pin --auth-id 01 --label 'mrkooll' --reader 0 New User PIN. Please enter User PIN: Please type again to verify: Unblock Code for New User PIN (Optional - press return for no PIN). Please enter User unblocking PIN (PUK): Please type again to verify: Security officer PIN required. Please enter Security officer PIN:

вводим PIN, PUK и SO PIN

И заливаем сертификат:

# pkcs15-init --store-private-key bungarus@bungarus.info-withoutCA-cert.p12 --format pkcs12 --auth-id 01 --split-key --reader 0 error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure Please enter passphrase to unlock secret key: Importing 1 certificates: 0: /C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info Security officer PIN required. Please enter Security officer PIN: User PIN required. Please enter User PIN: Security officer PIN required. Please enter Security officer PIN:

Идентификатор по умолчанию – 45.

Если залился только один сертификат значит опция split-key не

сработала тогда смотрим для какого использования залился сертификат

Видно что сертификат используется для подписи, поэтому заливаем еще

раз и указываем использовать для расшифровки:

# pkcs15-init --store-private-key bungarus@bungarus.info-withoutCA-cert.p12 --format pkcs12 --auth-id 01 --reader 0 --key-usage decrypt error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure Please enter passphrase to unlock secret key: Importing 1 certificates: 0: /C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info Warning: requested key usage incompatible with key usage specified by X.509 certificate Security officer PIN required. Please enter Security officer PIN: User PIN required. Please enter User PIN: Security officer PIN required. Please enter Security officer PIN:

Если залился сертификат для расшифровки тогда заливаем с опцией

--key-usage sign.

И теперь смотрим ключи:

# pkcs15-tool --list-keys Private RSA Key [Private Key] Com. Flags : 3 Usage : [0x20], unwrap Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local ModLength : 1024 Key ref : 16 Native : yes Path : 3f005015 Auth ID : 01 ID : 45 Private RSA Key [Private Key] Com. Flags : 3 Usage : [0xC], sign, signRecover Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local ModLength : 1024 Key ref : 17 Native : yes Path : 3f005015 Auth ID : 01 ID : 45 Private RSA Key [Private Key] Com. Flags : 3 Usage : [0x22], decrypt, unwrap Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local ModLength : 1024 Key ref : 18 Native : yes Path : 3f005015 Auth ID : 01 ID : 46

Видим что есть оба сертификата (подписи и расшифровки).

Теперь смотрим ID залитого сертификата:

# pkcs15-tool --list-certificates X.509 Certificate [/C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info] Flags : 2 Authority: no Path : 3f0050153149 ID : 45 X.509 Certificate [/C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info] Flags : 2 Authority: no Path : 3f005015314a ID : 46

Теперь нужно включить пользователей, авторизирующихся с помощью eToken

в группу scard:

# usermod -a -G scard mrkooll

Open SSH

Чтоб пользоваться ssh используя авторизацию по eToken нужно

пересобрать openssh.

Устанавливаем исходники:

> apt-get source openssh

Заходим в каталог debian и правим файл control:

1. Добавляем в Build-Depends libopensc2-dev

1. Добавляем в Recommends для openssh-client libopensc2 и opensc

Правим файл rules:

1. Добавляем в configure параметр --with-opensc=/usr

1. Убираем комментарий со строки:

rm -f debian/openssh-client/usr/share/Ssh.bin

Теперь нужно наложить патч из opensc

Устанавливаем исходники opensc:

> apt-get source opensc

Достаем патч ask-for-pin.diff из src/openssh и накладываем его на

openssh.

Без этого патча не будет работать запрос PIN в ssh.

Исходники opensc больше не понадобятся.

Теперь добавляем запись для changelog для openssh, собираем и устанавливаем

пакет.

После установки пакета можно пользоваться авторизацией по eToken в

ssh.

Сначала достанем из токена открытую часть ключа:

ssh-keygen -D 0 > authorized_keys

Теперь authorized_keys нужно закинуть на серверы в /.ssh/

После этого можно авторизоваться на сервере:

ssh -I 0 -l mrkooll server

Авторизация в системе

Есть несколько модулей pam которые используют eToken для авторизации в

системе.

Начнем с самого простого.

pam_p11

Проект pam_p11 состоит из

двух простых модулей pam, даже не имеющих настроек:

1. pam_p11_opensc.so

1. pam_p11_openssh.so

Работают они одинаково и различаются только проверяемым сертификатом.

pam_p11_openssh.so проверяет пользователя по сертификатам в

/.ssh/authorized_keys

pam_p11_opensc.so проверяет пользователя по сертификатам в

/.eid/authorized_certificates

Модуль libpam-p11 версии 0.1.2 из Etch не будет работать с eToken.

Нужно сделать backport из Lenny версии 0.1.3.

Кроме того его надо пропатчить перед сборкой.

Вот патч:

--- old/src/pam_p11.c 2008-03-12 11:44:52 +0000 +++ new/src/pam_p11.c 2008-03-12 11:51:00 +0000 @@ -39,7 +39,7 @@ #define LOGNAME "pam_p11" /* name for log-file entries */ #define RANDOM_SOURCE "/dev/urandom" -#define RANDOM_SIZE 128 +#define RANDOM_SIZE 36 #define MAX_SIGSIZE 256 extern int match_user(X509 * x509, const char *login);

Собираем пакет и устанавливаем его.

Теперь можно настроить авторизацию.

Для pam_p11_opensc нужные файлы создаются так:

mkdir -p ~/.eid chmod 0755 ~/.eid pkcs15-tool --read-certificate 45 --reader 0 >> ~/.eid/authorized_certificates chmod 0644 ~/.eid/authorized_certificates

Для pam_p11_openssh:

mkdir -p ~/.ssh chmod 0700 ~/.ssh ssh-keygen -D 0 >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys

И теперь правим конфигурацию pam.

Например для su правим файл /etc/pam.d/su В начало файла после строки

auth sufficient pam_rootok.so

добавляем строку

auth sufficient pam_p11_openssh.so /usr/lib/opensc-pkcs11.so

И теперь пользователи с eToken открытый ключ которых лежит в

/root/.ssh/authorized_keys могут запускать su и у них будет спрашивать

только PIN токена

mrkooll ~ > su - (mrkooll@mrkooll)[15:52:42]0|0.02 Password for token Maksym Tiurin eToken (mrkooll): mrkooll:~#

При отсутствии токена авторизация будет проходить штатно.

И так для всех необходимых файлов в /etc/pam.d/

FreeSource: MaximTyurin/eToken

Инициализация eToken

Open SSH

Авторизация в системе

pam_p11