The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Аудентификация linux через etoken в AD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [Проследить за развитием треда]

"Аудентификация linux через etoken в AD"  
Сообщение от 4ereP email(ok) on 10-Июл-07, 12:50 
Нужно настроить аудентификацию Gentoo linux десктопов в AD по смарткартам etoken. Cert Store находится в AD под win2003. Сертификат на карте под linux вижу с помощью alladin pkcs11 библиотеки, pam_pkcs11 тоже видит карту и сертификат. Но вот как его заставить сверять все в AD? Кто нибудь делал подобное?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Аутентификация linux через etoken в AD"  
Сообщение от myatz on 10-Июл-07, 18:17 
Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как заставить pam_ldap читать сертификат с карты - то должно работать, если есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аутентификация linux через etoken в AD"  
Сообщение от myatz on 10-Июл-07, 18:22 
>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>заставить pam_ldap читать сертификат с карты - то должно работать, если
>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>

еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки...

=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
из PAM-PKCS11 User Manual на оффсайте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аутентификация linux через etoken в AD"  
Сообщение от 4ereP email(ok) on 11-Июл-07, 06:48 
>>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>>заставить pam_ldap читать сертификат с карты - то должно работать, если
>>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>>
>
>еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат
>и ложил в локальную папку обновляя мап, потом вызвать по цепочке
>pam_pkcs11 для сверки...
>
>=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
>из PAM-PKCS11 User Manual на оффсайте

Спасибо за совет. Будем посмотреть. Единственное, все это нужно было, как обычно, ВЧЕРА.. :-)
По решении проблемы обязательно отпишусь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аутентификация linux через etoken в AD"  
Сообщение от andrey (??) on 01-Окт-07, 10:03 
>По решении проблемы обязательно отпишусь.

и шо.... и хде??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Аутентификация linux через etoken в AD"  
Сообщение от 4ereP email(??) on 01-Окт-07, 11:04 
>>По решении проблемы обязательно отпишусь.
>
>и шо.... и хде??

:-) Небыло времени..

Вобщем так. Проблема решилась установкой двух библиотек от alladin:
libetpkcs11.so.3-65.3
libetokendll.so.3-65.3

Далее в конфиге pam_pkcs11
$ cat /etc/pam_pkcs11/pam_pkcs11.conf

pam_pkcs11 {

  # Allow empty passwords
  nullok = false;

  # Enable debugging support.
  debug = false;

  # Do not prompt the user for the passwords but take them from the
  # PAM_ items instead.
  use_first_pass = false;

  # Do not prompt the user for the passwords unless PAM_(OLD)AUTHTOK
  # is unset.
  try_first_pass = false;

  # Like try_first_pass, but fail if the new PAM_AUTHTOK has not been
  # previously set (intended for stacking password modules only).
  use_authtok = false;

  # Filename of the PKCS #11 module. The default value is "default"

  use_pkcs11_module = alladin;

  pkcs11_module alladin {
    module =  /usr/lib/libetpkcs11.so;
    description = "Alladin module";
    slot_num = 0;
    crl_policy = ca_online;
  }

  use_mappers = ms;

  mapper_search_path = /usr/lib/pam_pkcs11;

  # ms - Use Microsoft Universal Principal Name extension
  # UPN is in format login@ADS_Domain. No map is needed, just
  # check domain name.
  mapper ms {
        debug = false;
        module = internal;
        # module = /usr/lib/pam_pkcs11/ms_mapper.so;
        ignorecase = false;
        ignoredomain = false;
        domain = "DOMAIN.RU";
  }

}

Ставим драйвера от кард-ридера для pcscd-lite.
И, собсно все.
Дистр - gentoo

За более подробной инфой стучитесь на mail


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру