Product SiteDocumentation Site

83.2. Настройка компьютера для двухфакторной аутентификации

Настройка компьютера для двухфакторной аутентификации:
  1. Внести изменения в файл /etc/security/pam_pkcs11/pam_pkcs11.conf:
    • закомментировать строку: 
      # use_pkcs11_module = opensc;
    • ниже закомментированной строки добавить строку use_pkcs11_module = rutoken; и описание модуля rutoken: 
      use_pkcs11_module = rutoken;

pkcs11_module rutoken {
  ca_dir = /etc/security/pam_pkcs11/cacerts;
  crl_dir = /etc/security/pam_pkcs11/crls;
  module = /usr/lib64/librtpkcs11ecp.so;
  cert_policy = subject;
  description = "Rutoken ECP";
  slot_description = "none";
}
    • значение use_mappers привести к виду: 
      use_mappers = digest, cn, pwent, uid, mail, subject, null, opensc;
  2. Добавить службу поддержки смарт-карт в автозапуск и запустить её: 
    # systemctl enable --now pcscd
  3. Установить сертификат УЦ: 
    # cp CA.pem /etc/security/pam_pkcs11/cacerts/
$ certutil -A -n 'Root CA' -t 'CT,C,C' -a -d /etc/pki/nssdb/ -i ./CA.pem
  4. Добавьте сертификат для пользователя: 
    $ mkdir /home/user/.eid/
$ cat CA.pem > /home/user/.eid/authorized_certificates
  5. Включите аутентификацию по токену: 
    # control system-auth pkcs11
Пользователь при входе в систему должен подключить токен, указать свой логин и ввести PIN-код токена:
Запрос PIN-кода при входе в систему

Примечание

Для возврата к аутентификации по паролю необходимо выполнить команду: 
# control system-auth local