forum.opennet.ru - "Аудентификация linux через etoken в AD" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Аудентификация linux через etoken в AD"

Форумы Samba, вопросы интеграции Unix и Windows (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Аудентификация linux через etoken в AD"
Сообщение от 4ereP (ok) on 10-Июл-07, 12:50
Нужно настроить аудентификацию Gentoo linux десктопов в AD по смарткартам etoken. Cert Store находится в AD под win2003. Сертификат на карте под linux вижу с помощью alladin pkcs11 библиотеки, pam_pkcs11 тоже видит карту и сертификат. Но вот как его заставить сверять все в AD? Кто нибудь делал подобное?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Аутентификация linux через etoken в AD, myatz, 18:17 , 10-Июл-07, (1)

Аутентификация linux через etoken в AD, myatz, 18:22 , 10-Июл-07, (2)

Аутентификация linux через etoken в AD, 4ereP, 06:48 , 11-Июл-07, (3)

Аутентификация linux через etoken в AD, andrey, 10:03 , 01-Окт-07, (4)

Аутентификация linux через etoken в AD, 4ereP, 11:04 , 01-Окт-07, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Аутентификация linux через etoken в AD"

Сообщение от myatz on 10-Июл-07, 18:17

Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как заставить pam_ldap читать сертификат с карты - то должно работать, если есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аутентификация linux через etoken в AD"

Сообщение от myatz on 10-Июл-07, 18:22

>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>заставить pam_ldap читать сертификат с карты - то должно работать, если
>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>
еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки...
=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
из PAM-PKCS11 User Manual на оффсайте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аутентификация linux через etoken в AD"

Сообщение от 4ereP (ok) on 11-Июл-07, 06:48

>>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>>заставить pam_ldap читать сертификат с карты - то должно работать, если
>>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>>
>
>еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат
>и ложил в локальную папку обновляя мап, потом вызвать по цепочке
>pam_pkcs11 для сверки...
>
>=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
>из PAM-PKCS11 User Manual на оффсайте
Спасибо за совет. Будем посмотреть. Единственное, все это нужно было, как обычно, ВЧЕРА.. :-)
По решении проблемы обязательно отпишусь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аутентификация linux через etoken в AD"

Сообщение от andrey (??) on 01-Окт-07, 10:03

>По решении проблемы обязательно отпишусь.
и шо.... и хде??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Аутентификация linux через etoken в AD"

Сообщение от 4ereP (??) on 01-Окт-07, 11:04

>>По решении проблемы обязательно отпишусь.
>
>и шо.... и хде??
:-) Небыло времени..
Вобщем так. Проблема решилась установкой двух библиотек от alladin:
libetpkcs11.so.3-65.3
libetokendll.so.3-65.3
Далее в конфиге pam_pkcs11
$ cat /etc/pam_pkcs11/pam_pkcs11.conf
pam_pkcs11 {
  # Allow empty passwords
  nullok = false;
  # Enable debugging support.
  debug = false;
  # Do not prompt the user for the passwords but take them from the
  # PAM_ items instead.
  use_first_pass = false;
  # Do not prompt the user for the passwords unless PAM_(OLD)AUTHTOK
  # is unset.
  try_first_pass = false;
  # Like try_first_pass, but fail if the new PAM_AUTHTOK has not been
  # previously set (intended for stacking password modules only).
  use_authtok = false;
  # Filename of the PKCS #11 module. The default value is "default"
  use_pkcs11_module = alladin;
  pkcs11_module alladin {
    module =  /usr/lib/libetpkcs11.so;
    description = "Alladin module";
    slot_num = 0;
    crl_policy = ca_online;
  }
  use_mappers = ms;
  mapper_search_path = /usr/lib/pam_pkcs11;
  # ms - Use Microsoft Universal Principal Name extension
  # UPN is in format login@ADS_Domain. No map is needed, just
  # check domain name.
  mapper ms {
        debug = false;
        module = internal;
        # module = /usr/lib/pam_pkcs11/ms_mapper.so;
        ignorecase = false;
        ignoredomain = false;
        domain = "DOMAIN.RU";
  }
}
Ставим драйвера от кард-ридера для pcscd-lite.
И, собсно все.
Дистр - gentoo
За более подробной инфой стучитесь на mail

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Аутентификация linux через etoken в AD"
Сообщение от myatz on 10-Июл-07, 18:17
Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как заставить pam_ldap читать сертификат с карты - то должно работать, если есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Аутентификация linux через etoken в AD"
	Сообщение от myatz on 10-Июл-07, 18:22
	>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как >заставить pam_ldap читать сертификат с карты - то должно работать, если >есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать... > еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки... === ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper из PAM-PKCS11 User Manual на оффсайте
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Аутентификация linux через etoken в AD"
	Сообщение от 4ereP (ok) on 11-Июл-07, 06:48
	>>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как >>заставить pam_ldap читать сертификат с карты - то должно работать, если >>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать... >> > >еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат >и ложил в локальную папку обновляя мап, потом вызвать по цепочке >pam_pkcs11 для сверки... > >=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper >из PAM-PKCS11 User Manual на оффсайте Спасибо за совет. Будем посмотреть. Единственное, все это нужно было, как обычно, ВЧЕРА.. :-) По решении проблемы обязательно отпишусь.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Аутентификация linux через etoken в AD"
	Сообщение от andrey (??) on 01-Окт-07, 10:03
	>По решении проблемы обязательно отпишусь. и шо.... и хде??
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Аутентификация linux через etoken в AD"
	Сообщение от 4ereP (??) on 01-Окт-07, 11:04
	>>По решении проблемы обязательно отпишусь. > >и шо.... и хде?? :-) Небыло времени.. Вобщем так. Проблема решилась установкой двух библиотек от alladin: libetpkcs11.so.3-65.3 libetokendll.so.3-65.3 Далее в конфиге pam_pkcs11 $ cat /etc/pam_pkcs11/pam_pkcs11.conf pam_pkcs11 { # Allow empty passwords nullok = false; # Enable debugging support. debug = false; # Do not prompt the user for the passwords but take them from the # PAM_ items instead. use_first_pass = false; # Do not prompt the user for the passwords unless PAM_(OLD)AUTHTOK # is unset. try_first_pass = false; # Like try_first_pass, but fail if the new PAM_AUTHTOK has not been # previously set (intended for stacking password modules only). use_authtok = false; # Filename of the PKCS #11 module. The default value is "default" use_pkcs11_module = alladin; pkcs11_module alladin { module = /usr/lib/libetpkcs11.so; description = "Alladin module"; slot_num = 0; crl_policy = ca_online; } use_mappers = ms; mapper_search_path = /usr/lib/pam_pkcs11; # ms - Use Microsoft Universal Principal Name extension # UPN is in format login@ADS_Domain. No map is needed, just # check domain name. mapper ms { debug = false; module = internal; # module = /usr/lib/pam_pkcs11/ms_mapper.so; ignorecase = false; ignoredomain = false; domain = "DOMAIN.RU"; } } Ставим драйвера от кард-ридера для pcscd-lite. И, собсно все. Дистр - gentoo За более подробной инфой стучитесь на mail
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]