https://www.opennet.ru/openforum/vsluhforumID14/1412.html Нужно настроить аудентификацию Gentoo linux десктопов в AD по смарткартам etoken. Cert Store находится в AD под win2003. Сертификат на карте под linux вижу с помощью alladin pkcs11 библиотеки, pam_pkcs11 тоже видит карту и сертификат. Но вот как его заставить сверять все в AD? Кто нибудь делал подобное?<br> https://www.opennet.ru/openforum/vsluhforumID14/1412.html#5 Mon, 01 Oct 2007 07:04:35 GMT &gt;&gt;По решении проблемы обязательно отпишусь. <br>&gt;<br>&gt;и шо.... и хде?? <br><br>:-) Небыло времени..<br><br>Вобщем так. Проблема решилась установкой двух библиотек от alladin:<br>libetpkcs11.so.3-65.3<br>libetokendll.so.3-65.3<br><br>Далее в конфиге pam_pkcs11<br>$ cat /etc/pam_pkcs11/pam_pkcs11.conf<br><br>pam_pkcs11 {<br><br> # Allow empty passwords<br> nullok = false;<br><br> # Enable debugging support.<br> debug = false;<br><br> # Do not prompt the user for the passwords but take them from the<br> # PAM_ items instead.<br> use_first_pass = false;<br><br> # Do not prompt the user for the passwords unless PAM_(OLD)AUTHTOK<br> # is unset.<br> try_first_pass = false;<br><br> # Like try_first_pass, but fail if the new PAM_AUTHTOK has not been<br> # previously set (intended for stacking password modules only).<br> use_authtok = false;<br><br> # Filename of the PKCS #11 module. The default value is "default"<br><br> use_pkcs11_module = alladin;<br><br> pkcs11_module alladin {<br> module = /usr/lib/libetpkcs11.so;<br> description = "Alladin module";<br> slot_num = 0; https://www.opennet.ru/openforum/vsluhforumID14/1412.html#4 Mon, 01 Oct 2007 06:03:49 GMT &gt;По решении проблемы обязательно отпишусь. <br><br>и шо.... и хде??<br> https://www.opennet.ru/openforum/vsluhforumID14/1412.html#3 Wed, 11 Jul 2007 02:48:12 GMT &gt;&gt;Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как <br>&gt;&gt;заставить pam_ldap читать сертификат с карты - то должно работать, если <br>&gt;&gt;есть АР&#1110; pkcs11 нужно чуток подправить исходники pam_ldap и должно работать... <br>&gt;&gt;<br>&gt;<br>&gt;еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат <br>&gt;и ложил в локальную папку обновляя мап, потом вызвать по цепочке <br>&gt;pam_pkcs11 для сверки... <br>&gt;<br>&gt;=== ага - не надо править -&gt; 12.4.4. LDAP (lightweight directory access protocol) mapper <br>&gt;из PAM-PKCS11 User Manual на оффсайте <br><br>Спасибо за совет. Будем посмотреть. Единственное, все это нужно было, как обычно, ВЧЕРА.. :-) <br>По решении проблемы обязательно отпишусь.<br> https://www.opennet.ru/openforum/vsluhforumID14/1412.html#2 Tue, 10 Jul 2007 14:22:17 GMT &gt;Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как <br>&gt;заставить pam_ldap читать сертификат с карты - то должно работать, если <br>&gt;есть АР&#1110; pkcs11 нужно чуток подправить исходники pam_ldap и должно работать... <br>&gt;<br><br>еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки...<br><br>=== ага - не надо править -&gt; 12.4.4. LDAP (lightweight directory access protocol) mapper <br>из PAM-PKCS11 User Manual на оффсайте<br><br> https://www.opennet.ru/openforum/vsluhforumID14/1412.html#1 Tue, 10 Jul 2007 14:17:17 GMT Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как заставить pam_ldap читать сертификат с карты - то должно работать, если есть АР&#1110; pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...