У нас есть Aladdin eToken Pro 32k от

компании Aladdin и Debian GNU/Linux 4.0 Etch.

При работе с eToken Pro можно использовать один из двух
методов:

1. Работа через opensc и openct по стандарту PKCS#15

1. Работа через демон от Aladdin по их протоколу

Мы будем использовать PKCS#15.

Инициализация eToken

Сначала устанавливаем opensc и openct для
доступа к смарт-карте.

> sudo aptitude install opensc openct

Список поддерживаемых карт можно посмотреть на

официальном сайте.

Сначала eToken нужно отформатировать и инициализировать в Windows. Это
нужно потому что драйвер от Aladdin и Open SC используют разные
структуры данных. Кроме того форматирование из Windows с помощью
программы от Aladdin форматирует весь eToken, а Open SC стирает только
структуру PKCS#15.

Поэтому если хочется использовать eToken в Windows и Linux
одновременно то сначала его нужно отформатировать и инициализировать в
Windows, а потом инициализировать в Linux с помощью Open SC.

Теперь вставляем eToken и смотрим определился ли он:

# openct-tool list
  0 Aladdin eToken PRO

Запоминаем идентификатор ключа (0) – он нам в дальнейшем понадобится.

Теперь создадим структуру PKCS#15 на eToken

# pkcs15-init --create-pkcs15 --label 'Maksym Tiurin eToken' --reader 0
New Security Officer PIN (Optional - press return for no PIN).
Please enter Security Officer PIN: 
Please type again to verify: 
Unblock Code for New User PIN (Optional - press return for no PIN).
Please enter User unblocking PIN (PUK): 
Please type again to verify:

Если eToken не будет использоваться в Microsoft Windows то создаем
структуру PKCS#15 и форматируем токен.

# pkcs15-init --erase-card --create-pkcs15 --label 'Maksym Tiurin eToken' --reader 0
New Security Officer PIN (Optional - press return for no PIN).
Please enter Security Officer PIN: 
Please type again to verify: 
Unblock Code for New User PIN (Optional - press return for no PIN).
Please enter User unblocking PIN (PUK): 
Please type again to verify:

вводим PIN для Secirity Officer (SO PIN) и PUK для Security Officer
(максимум 8 символов).

SO PIN будет нужен для создания профилей.

SO PUK будет нужен для разблокирования профилей.

Теперь создаем сертификат x509 в Tiny CA 2 (RSA 1024bit, SHA1 digest)
и экспортируем его в формате PKCS#12 вместе с ключом (ставим галочку
«Include Key (PEM)"). Не забываем отключить вставку в PKCS#12 сертификата CA.

Теперь создаем профиль на eToken:

# pkcs15-init --store-pin --auth-id 01 --label 'mrkooll' --reader 0
New User PIN.
Please enter User PIN: 
Please type again to verify: 
Unblock Code for New User PIN (Optional - press return for no PIN).
Please enter User unblocking PIN (PUK): 
Please type again to verify: 
Security officer PIN required.
Please enter Security officer PIN:

вводим PIN, PUK и SO PIN

И заливаем сертификат:

# pkcs15-init --store-private-key bungarus@bungarus.info-withoutCA-cert.p12 --format pkcs12 --auth-id 01 --split-key --reader 0
error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure
Please enter passphrase to unlock secret key: 
Importing 1 certificates:
  0: /C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info
Security officer PIN required.
Please enter Security officer PIN: 
User PIN required.
Please enter User PIN: 
Security officer PIN required.
Please enter Security officer PIN:

Идентификатор по умолчанию – 45.

Если залился только один сертификат значит опция split-key не
сработала тогда смотрим для какого использования залился сертификат

# pkcs15-tool --list-keys
Private RSA Key [Private Key]
	Com. Flags  : 3
	Usage       : [0x20], unwrap
	Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength   : 1024
	Key ref     : 16
	Native      : yes
	Path        : 3f005015
	Auth ID     : 01
	ID          : 45

Private RSA Key [Private Key]
	Com. Flags  : 3
	Usage       : [0xC], sign, signRecover
	Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength   : 1024
	Key ref     : 17
	Native      : yes
	Path        : 3f005015
	Auth ID     : 01
	ID          : 45

Видно что сертификат используется для подписи, поэтому заливаем еще
раз и указываем использовать для расшифровки:

# pkcs15-init --store-private-key bungarus@bungarus.info-withoutCA-cert.p12 --format pkcs12 --auth-id 01 --reader 0 --key-usage decrypt
error:23076071:PKCS12 routines:PKCS12_parse:mac verify failure
Please enter passphrase to unlock secret key: 
Importing 1 certificates:
  0: /C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info
Warning: requested key usage incompatible with key usage specified by X.509 certificate
Security officer PIN required.
Please enter Security officer PIN: 
User PIN required.
Please enter User PIN: 
Security officer PIN required.
Please enter Security officer PIN:

Если залился сертификат для расшифровки тогда заливаем с опцией
--key-usage sign.

И теперь смотрим ключи:

# pkcs15-tool --list-keys
Private RSA Key [Private Key]
	Com. Flags  : 3
	Usage       : [0x20], unwrap
	Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength   : 1024
	Key ref     : 16
	Native      : yes
	Path        : 3f005015
	Auth ID     : 01
	ID          : 45

Private RSA Key [Private Key]
	Com. Flags  : 3
	Usage       : [0xC], sign, signRecover
	Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength   : 1024
	Key ref     : 17
	Native      : yes
	Path        : 3f005015
	Auth ID     : 01
	ID          : 45

Private RSA Key [Private Key]
	Com. Flags  : 3
	Usage       : [0x22], decrypt, unwrap
	Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength   : 1024
	Key ref     : 18
	Native      : yes
	Path        : 3f005015
	Auth ID     : 01
	ID          : 46

Видим что есть оба сертификата (подписи и расшифровки).

Теперь смотрим ID залитого сертификата:

# pkcs15-tool --list-certificates
X.509 Certificate [/C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info]
	Flags    : 2
	Authority: no
	Path     : 3f0050153149
	ID       : 45

X.509 Certificate [/C=UA/L=Rivne/O=Maksym Tiurin/OU=personal/CN=Maksym Tiurin/emailAddress=bungarus@bungarus.info]
	Flags    : 2
	Authority: no
	Path     : 3f005015314a
	ID       : 46

Теперь нужно включить пользователей, авторизирующихся с помощью eToken
в группу scard:

# usermod -a -G scard mrkooll

Open SSH

Чтоб пользоваться ssh используя авторизацию по eToken нужно
пересобрать openssh.

Устанавливаем исходники:

> apt-get source openssh

Заходим в каталог debian и правим файл control:

1. Добавляем в Build-Depends libopensc2-dev

1. Добавляем в Recommends для openssh-client libopensc2 и opensc

Правим файл rules:

1. Добавляем в configure параметр --with-opensc=/usr

1. Убираем комментарий со строки:

rm -f debian/openssh-client/usr/share/Ssh.bin

Теперь нужно наложить патч из opensc

Устанавливаем исходники opensc:

> apt-get source opensc

Достаем патч ask-for-pin.diff из src/openssh и накладываем его на
openssh.

Без этого патча не будет работать запрос PIN в ssh.

Исходники opensc больше не понадобятся.

Теперь добавляем запись для changelog для openssh, собираем и устанавливаем
пакет.

После установки пакета можно пользоваться авторизацией по eToken в
ssh.

Сначала достанем из токена открытую часть ключа:

ssh-keygen -D 0 > authorized_keys

Теперь authorized_keys нужно закинуть на серверы в /.ssh/

После этого можно авторизоваться на сервере:

ssh -I 0 -l mrkooll server

Авторизация в системе

Есть несколько модулей pam которые используют eToken для авторизации в
системе.

Начнем с самого простого.

pam_p11

Проект

pam_p11 состоит из
двух простых модулей pam, даже не имеющих настроек:

1. pam_p11_opensc.so

1. pam_p11_openssh.so

Работают они одинаково и различаются только проверяемым сертификатом.

pam_p11_openssh.so проверяет пользователя по сертификатам в
/.ssh/authorized_keys

pam_p11_opensc.so проверяет пользователя по сертификатам в
/.eid/authorized_certificates

Модуль libpam-p11 версии 0.1.2 из Etch не будет работать с eToken.
Нужно сделать backport из Lenny версии 0.1.3.

Кроме того его надо пропатчить перед сборкой.

Вот патч:

--- old/src/pam_p11.c	2008-03-12 11:44:52 +0000
+++ new/src/pam_p11.c	2008-03-12 11:51:00 +0000
@@ -39,7 +39,7 @@
 #define LOGNAME   "pam_p11"	/* name for log-file entries */
 
 #define RANDOM_SOURCE "/dev/urandom"
-#define RANDOM_SIZE 128
+#define RANDOM_SIZE 36
 #define MAX_SIGSIZE 256
 
 extern int match_user(X509 * x509, const char *login);

Собираем пакет и устанавливаем его.

Теперь можно настроить авторизацию.

Для pam_p11_opensc нужные файлы создаются так:

mkdir -p ~/.eid
chmod 0755 ~/.eid
pkcs15-tool --read-certificate 45 --reader 0 >> ~/.eid/authorized_certificates
chmod 0644 ~/.eid/authorized_certificates

Для pam_p11_openssh:

mkdir -p ~/.ssh
chmod 0700 ~/.ssh
ssh-keygen -D 0 >> ~/.ssh/authorized_keys
chmod 0600 ~/.ssh/authorized_keys

И теперь правим конфигурацию pam.

Например для su правим файл /etc/pam.d/su В начало файла после строки

auth       sufficient pam_rootok.so

добавляем строку

auth       sufficient pam_p11_openssh.so /usr/lib/opensc-pkcs11.so

И теперь пользователи с eToken открытый ключ которых лежит в
/root/.ssh/authorized_keys могут запускать su и у них будет спрашивать
только PIN токена

mrkooll ~ >  su -                             (mrkooll@mrkooll)[15:52:42]0|0.02
Password for token Maksym Tiurin eToken (mrkooll): 
mrkooll:~#

При отсутствии токена авторизация будет проходить штатно.

И так для всех необходимых файлов в /etc/pam.d/

FreeSource : MaximTyurin/eToken

Инициализация eToken

Open SSH

Авторизация в системе

pam_p11