База знаний
6С чего начать? 32Indeed Privileged Access Manager 71Indeed Certificate Manager 169Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам
База знаний: Indeed Access Manager 8 > Pluggable Authentication Modules
Настройка локального входа на Astra Linux через Рутокен ЭЦП и Indeed Key
Автор Maksim Efanov, Last modified by Maksim Efanov на 22 октября 2024 02:09 PM

Предварительные требования

  1. Настроенный сервер Indeed AM по документации
  2. Зарегистрированный аутентификатор Indeed Key у пользователя.
  3. Настроенная работа Рутокена в Astra Linux по инструкции.
  4. Настроенный модуль RADIUS PAM по инструкции.
  5. Настроенный Indeed AM NPS RADIUS Extension.
  6. Добавленные RADIUS приложения (машина с PAM) в MC.

Дополнительные настройки на NPS сервере

  1. Откройте оснастку NPS.
  2. Перейдите: Policies > Connection Request Policies > *Политика, используемая для подключения к машине Astra*
  3. Откройте свойства политики и уберите проверку пароля: ПКМ по политике > Properties > Settings > Authentication > Accept users without validating credentials > Apply > OK

Дополнительные настройки в Indeed AM Management Console

  1. Перейдите в MC.
  2. Откройте Политики > *Политика с приложением RADIUS* > Приложения > *RADIUS приложение*
  3. Метод аутентификации установите Indeed Key и нажмите "Сохранить".

Настройка файлов PAM модуля

Примечание. Здесь описана настройка только для локального входа. Настройка других компонентов (su, login и т.д.) аналогична.

  1. На Astra Linux перейдите в /etc/pam.d/
  2. Отредактируйте файл fly-dm следующим образом:
    • Закомментируйте @include common-auth, добавив в начало строки #.
    • В конец файла добавьте следующие строки:
      auth sufficient pam_unix.so nullok_secure try_first_pass
      auth required pam_p11_opensc.so /usr/lib/librtpkcs11ecp.so
      auth required pam_radius_auth.so conf=/etc/pam_radius_auth.conf
    • Если директория файла librtpkcs11ecp.so отличается, укажите нужную. Чтобы найти файл в системе: find / -iname *имя объекта*
  3. Отредактируйте файл fly-wm следующим образом:
    • Закомментируйте все строки и добавьте следующие:
      auth sufficient pam_unix.so nullok_secure try_first_pass
      auth required pam_p11_opensc.so /usr/lib/librtpkcs11ecp.so
      auth required pam_radius_auth.so conf=/etc/pam_radius_auth.conf

Здесь:

  • auth sufficient pam_unix.so nullok_secure try_first_pass - позволяет входить локальным пользователям по паролю;
  • auth required pam_p11_opensc.so /usr/lib/librtpkcs11ecp.so - требует от остальных пользователей ввода PIN с токена;
  • auth required pam_radius_auth.so conf=/etc/pam_radius_auth.conf - требует от остальных пользователей аутентификации через RADIUS сервер.

Пример работы

  1. Запускаем новую сессию;
  2. В окне с паролем вводим PIN с токена;
  3. Ждем отправки подтверждения на устройство пользователя и принимаем его.

Внимание. Если ввести PIN неверно, появится окно ввода, без каких-либо дополнительных указаний. Затем, произойдет выход из графической оболочки и машину придется перезагружать. Это особенность работы библиотеки pam_p11. Старайтесь вводить PIN верно с первой попытки.

(2 голос(а))
Эта статья полезна
Эта статья бесполезна
Портал технической поддержки компании Индид