Нужно настроить аудентификацию Gentoo linux десктопов в AD по смарткартам etoken. Cert Store находится в AD под win2003. Сертификат на карте под linux вижу с помощью alladin pkcs11 библиотеки, pam_pkcs11 тоже видит карту и сертификат. Но вот как его заставить сверять все в AD? Кто нибудь делал подобное?

• Аутентификация linux через etoken в AD,myatz, 18:17 , 10-Июл-07
  • Аутентификация linux через etoken в AD,myatz, 18:22 , 10-Июл-07
    • Аутентификация linux через etoken в AD,4ereP, 06:48 , 11-Июл-07
      • Аутентификация linux через etoken в AD,andrey, 10:03 , 01-Окт-07
        • Аутентификация linux через etoken в AD,4ereP, 11:04 , 01-Окт-07

Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как заставить pam_ldap читать сертификат с карты - то должно работать, если есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...

>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>заставить pam_ldap читать сертификат с карты - то должно работать, если
>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>

еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки...

=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
из PAM-PKCS11 User Manual на оффсайте

>>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>>заставить pam_ldap читать сертификат с карты - то должно работать, если
>>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>>
>
>еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат
>и ложил в локальную папку обновляя мап, потом вызвать по цепочке
>pam_pkcs11 для сверки...
>
>=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
>из PAM-PKCS11 User Manual на оффсайте

Спасибо за совет. Будем посмотреть. Единственное, все это нужно было, как обычно, ВЧЕРА.. :-)
По решении проблемы обязательно отпишусь.

>По решении проблемы обязательно отпишусь.

и шо.... и хде??

>>По решении проблемы обязательно отпишусь.
>
>и шо.... и хде??

:-) Небыло времени..

Вобщем так. Проблема решилась установкой двух библиотек от alladin:
libetpkcs11.so.3-65.3
libetokendll.so.3-65.3

Далее в конфиге pam_pkcs11
$ cat /etc/pam_pkcs11/pam_pkcs11.conf

pam_pkcs11 {

  # Allow empty passwords
  nullok = false;

  # Enable debugging support.
  debug = false;

  # Do not prompt the user for the passwords but take them from the
  # PAM_ items instead.
  use_first_pass = false;

  # Do not prompt the user for the passwords unless PAM_(OLD)AUTHTOK
  # is unset.
  try_first_pass = false;

  # Like try_first_pass, but fail if the new PAM_AUTHTOK has not been
  # previously set (intended for stacking password modules only).
  use_authtok = false;

  # Filename of the PKCS #11 module. The default value is "default"

  use_pkcs11_module = alladin;

  pkcs11_module alladin {
    module =  /usr/lib/libetpkcs11.so;
    description = "Alladin module";
    slot_num = 0;
    crl_policy = ca_online;
  }

  use_mappers = ms;

  mapper_search_path = /usr/lib/pam_pkcs11;

  # ms - Use Microsoft Universal Principal Name extension
  # UPN is in format login@ADS_Domain. No map is needed, just
  # check domain name.
  mapper ms {
        debug = false;
        module = internal;
        # module = /usr/lib/pam_pkcs11/ms_mapper.so;
        ignorecase = false;
        ignoredomain = false;
        domain = "DOMAIN.RU";
  }

}

Ставим драйвера от кард-ридера для pcscd-lite.
И, собсно все.
Дистр - gentoo

За более подробной инфой стучитесь на mail