Инструменты пользователя

Инструменты сайта

Вы посетили: 2FA в IPA (ALSE17) JMS&JAS (управление средствами аутентификации и OTP)
russianway:alse_ipa2fa

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
russianway:alse_ipa2fa [2025/03/04 22:59] – [Настройка XCA для работы с интерфейсной библиотекой] rootrussianway:alse_ipa2fa [2025/04/11 18:24] (текущий) root
Строка 1: Строка 1:
 ====== 2FA в IPA (ALSE17) ====== ====== 2FA в IPA (ALSE17) ======
 ===== На стороне клиента ===== ===== На стороне клиента =====
-<code> +<code bash> 
-sudo apt install csp-monitor libnss3-tools krb5-pkinit +sudo mount /dev/sdb1 /mnt/ 
-sudo systemctl edit pcscd.service+sudo cp -v /mnt/rutoken_pub.key /etc/digsig/keys/cyberprotect_pub.key && \ 
 +sudo update-initramfs -u -k all && \ 
 +sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc libengine-pkcs11-openssl1.1 -y && \ 
 +sudo apt install -f /mnt/librtpkcs11ecp_2.17.1.0-1_amd64.deb
 </code> </code>
-<code ini>+<code bash> 
 +sudo apt install csp-monitor libnss3-tools krb5-pkinit 
 +sudo mkdir /etc/systemd/system/pcscd.service.d/ 
 +sudo tee /etc/systemd/system/pcscd.service.d/override.conf << EOF
 [Service] [Service]
 ExecStart= ExecStart=
 ExecStart=/usr/sbin/pcscd --foreground ExecStart=/usr/sbin/pcscd --foreground
 +EOF
 </code> </code>
 <code bash> <code bash>
 +sudo systemctl daemon-reload
 sudo systemctl restart pcscd.service sudo systemctl restart pcscd.service
 </code> </code>
 <code bash> <code bash>
 sudo sed -i -e "/\[pam\]/a pam_cert_auth = True\nresponder_idle_timeout = 0" /etc/sssd/sssd.conf sudo sed -i -e "/\[pam\]/a pam_cert_auth = True\nresponder_idle_timeout = 0" /etc/sssd/sssd.conf
 +</code>
 +Добавить в секцию домена:
 +<code ini>
 +krb5_ccname_template = KEYRING:persistent:%{uid}
 </code> </code>
 <code bash> <code bash>
-sudo nano /etc/sssd/sssd.conf+sudo tee -a /etc/sssd/sssd.conf << EOF
 [certmap/{{ server.domain }}/rule] [certmap/{{ server.domain }}/rule]
 matchrule = <ISSUER>CN={{ defaults.ipa_ca_name }} matchrule = <ISSUER>CN={{ defaults.ipa_ca_name }}
 maprule = (userCertificate;binary={cert!bin}) maprule = (userCertificate;binary={cert!bin})
 +EOF
 </code> </code>
 <code bash> <code bash>
 sudo mkdir /etc/sssd/pki/ sudo mkdir /etc/sssd/pki/
-sudo cp root_ca.cer /etc/sssd/pki/sssd_auth_ca_db.pem+sudo cp -v /etc/ipa/ca.crt /etc/sssd/pki/sssd_auth_ca_db.pem
 </code> </code>
 <code bash> <code bash>
Строка 40: Строка 53:
 ==CSP-Monitor== ==CSP-Monitor==
 <code bash> <code bash>
-sudo nano /etc/security/pam_csp.conf +sudo tee /etc/security/pam_csp.conf << EOF
-</code> +
-<code ini>+
 [global] [global]
 pkcs11_module = librtpkcs11ecp.so pkcs11_module = librtpkcs11ecp.so
 +EOF
 +sudo systemctl restart csp-monitor
 </code> </code>
 <code bash> <code bash>
russianway/alse_ipa2fa.1741118366.txt.gz · Последнее изменение: 2025/03/04 22:59 — root