ProHoster > Блог > administratio > Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux
В unus ex nostris articulis locuti sumus de momentum authenticas duorum factorum in portarum societatum corporatorum. Novissimo tempore demonstravimus quomodo authenticas secure in IIS interretialem constitueretur.

In commentis rogabantur scribere instructiones pro servientibus communissimis interretialibus pro Linux - nginx et Apache.

Rogasti - scripsimus.

Quid opus est ut incipiat?

  • Quaelibet moderna Linux distributio. Experimentum feci in MX Linux 18.2_x64. Haec utique distributio non ministrantis est, sed dissimiles esse aliquas differentias pro Debian. Nam aliae distributiones semitae ad bibliothecas config leviter differunt.
  • Thochen. Semper uti exemplum Rutoken EDS PKI, quod est specimen cum velocitatis notis ad usum corporatum.
  • Ad signum in Linux operandum, necesse est ut sequentes fasciculos instituas:
    libccid libpcsclite1 pcscd pcsc-tools opensc

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

fiebant testimonia

In articulis superioribus, id quod ministrator et clientium testimoniorum usus editur, Microsoft CA innitentes sumus. Sed quia in Linux omnia constituimus, etiam tibi de alio modo ut haec testimonia referamus - sine Linux relinquemus.
Utemur XCA ut CA (https://hohnstaedt.de/xca/) quae in qualibet distributione Linux moderna praesto est. Omnes actiones, quas in XCA praestabimus, in linea imperandi modus utendi usus in OpenSSL et pkcs11-instrumento utilitatis, sed ad maiorem simplicitatem et claritatem, eas in hoc articulo non ponemus.

questus Coepi

  1. Inaugurare: 
    $ apt-get install xca
  2. Et currimus; 
    $ xca
  3. Creamus database nostris pro CA - /root/CA.xdb
    Commendamus auctoritati datorum certificatorium thesaurizare in folder ubi solus administrator accessum habet. Hoc magni momenti est ad privatas claves radicis testimonialium tutandas, quae omnes alias testimoniales subsignare solent.

Create claves et radix CA certificatorium

Clavis publica infrastructura (PKI) in systemate hierarchico innititur. Summa in hoc systemate est radix certificationis auctoritatis vel radix CA. Eius certificatorium primum debet creari.

  1. RSA-2048 clavis privatis ad CA creamus. Ad hoc faciendum in tab Privata Keys dis Nova clavis et eligere oportet genus.
  2. Pone nomen clavium novorum par. Appellavi eum CA Key.
  3. Nos libellum ipsum CA edimus, utendo par clavibus creatis. Hoc facere, ad tab Testimonia et torcular Novum certificatorium.
  4. Vide eligere HA-256quod usus SHA-1 tuta haberi non potest.
  5. Vide ut exemplum eligere [default]CA. Noli oblivisci ut click Applicare omniaaliter formula non adhibetur.
  6. In tab subject par clavis nostris eligere. Ibi omnes praecipuos testimonium campi explere potes.

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

Creando claves et https servo certificatorium

  1. Simili modo RSA-2048 clavis privatum pro servo creamus, id Servo Clavis appellavi.
  2. Cum libellum creando, eligimus libellum servo signari debere cum libellum CA.
  3. Noli oblivisci eligere HA-256.
  4. Nos eligere in exemplum [default] HTTPS_server. Click Applicare omnia.
  5. Tum in tab subject clavem nostram elige et campis quaesitis imple.

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

Create claves et libellum pro usuario

  1. Clavis privata utentis in nostro signo reponetur. Ut cum eo laboret, debes bibliothecam PKCS#11 instituere ex nostro loco. Pro popularibus distributionibus sarcinas paratas, quae hic sita sunt, distribuimus. https://www.rutoken.ru/support/download/pkcs/. Habemus etiam conventus pro arm64, armv7el, armv7hf, e2k, mipso32el, quod ex nostro SDK accipi potest. https://www.rutoken.ru/developers/sdk/. Praeter ecclesias de Linux, sunt etiam conventus macOS, freebsd et android.
  2. PKCS novam addit Providentem ad XCA# XI. Hoc facere, vade ad menu options ad tab PKCS # XI Suggero.
  3. Click Add et viam ad bibliothecam PKCS#11 elige. In causa mea est usrliblibrtpkcs11ecp.so.
  4. Indicium formato Rutoken EDS PKI egebimus. Download in rtAdmin utilitatem - https://dev.rutoken.ru/pages/viewpage.action?pageId=7995615
  5. praestare 
    $ rtAdmin -f -q -z /usr/lib/librtpkcs11ecp.so -u <PIN-код пользователя>
  6. RSA-2048 clavis ad Rutoken EDS PKI sicut typus clavis eligimus. Hanc clavem Clavis Client appellavi.

    Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

  7. ACUS intrant codice. Et exspectamus complementum hardware generationis clavium par

    Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

  8. Testimonium usoris per similitudinem cum servo certificatorium facimus. Hoc tempus eligere templates [default] HTTPS_client et noli oblivisci click " Applicare omnia.
  9. In tab subject intrant notitia de usuario. Respondemus affirmative roganti ut libellum servandum pro signo.

Quam ob rem in tab certificaciones in XCA aliquid simile hoc accipias.

Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux
Haec minima copia clavium et libellorum satis est ut ipsi ministris instituendis incipiant.

Configurare, necesse est libellum CA exportare, libellum servo ac clavis privatis ministrare.

Ad hoc fac, elige optatum ingressum in correspondente tab in XCA et deprime Export.

nginx

Non scribo quomodo instituere et currere servo nginx - satis sunt articuli de hoc argumento in Interreti, ne dicam documenta publica. Let's get straight to setting up HTTPS and two-factor authentication using a signo.

Lineas sequentes adde sectioni servo in nginx.conf:

server {
	listen 443 ssl;
	ssl_verify_depth 1;
	ssl_certificate /etc/nginx/Server.crt;
	ssl_certificate_key /etc/nginx/ServerKey.pem;
	ssl_client_certificate /etc/nginx/CA.crt;
	ssl_verify_client on;
}

Explicatio omnium parametri ad ssl figurantium pertinentium in nginx hic inveniuntur - https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

Breviter ea dicam quae ipse rogavi;

  • ssl_verify_client - significat vinculum fidei ad certificatorium necessitates verificandas.
  • ssl_verify_depth - Investigationis profunditatem definit certificatorium radicis creditae in catena. Cum testimonium clientis nostri statim in certificatorio radicis signatum est, profunditas ad 1. Si usoris testimonium in medio CA signatum est, 2 in hoc parametro definiri debet, et sic porro.
  • ssl_client_certificate - semitam specificat ad certificatorium radicis creditae, quae adhibetur cum inhibito fiducia in usoris certificatorium.
  • ssl_certificate/ssl_certificate_key - indica viam ad libellum servo / clavem privatim.

Noli oblivisci currere nginx-t inhibere typos in config nullas esse, et omnia fasciculi in loco recto, et sic porro.

Et hoc totum est! Ut vides, habeat simplex.

Reprehendo suus 'opus in Firefox

Cum omnia in Linux omnino agimus, usores etiam nostros in Linux (si Fenestram habent, tum videre instructiones ad constituendum browsers in praecedente articulo.

  1. Firefox Lorem scriptor.
  2. Conemur aperi sine signo prius. Hanc imaginem induimus:

    Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

  3. ire per circuitum: preferences secretum #et itur ad Securitas machinae…
  4. Click loadut novam PKCS#11 Driver et viam nostris librtpkcs11ecp.so definias.
  5. Sisto ut testimonium visibilis sit, ire potes Procurator certificatorium. Ingredieris PIN. Post initus rectam, quae in tabe sunt, inspicere potes Testimonia tua testimonium de signo nostro apparuit.
  6. Nunc eamus cum signo. Firefox admonet te ut libellum deligaris qui pro servo eligendus erit. Libellum nostrum elige.

    Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

  7. QUAESTUS!

    Duo factor authenticas in situ utens USB indicium. Nunc etiam pro Linux

Propositum semel factum est, et sicut in fenestra libellum rogationis videre potes, electionem nostram servare possumus. Post haec, quotiescumque in portam aperimus, tantum tesseram inserere debebimus et in usoris PIN codicem intramus, qui in formatura definitum est. Post talem authenticationem, server iam scit quod usor initium fecit nec amplius potes aliquas fenestras ad verificationem additas creare, sed statim usor in suam rationem permittit.

Apache

Ut cum nginx, nemo problemata Apache installare debet. Si nescis quomodo hanc interretialem institutionem servo, documenta officiali tantum utere.

Incipimus autem instituere nostrum HTTPS et duos factores authenticas;

  1. Primum debes mod_ssl movere: 
    $ a2enmod ssl
  2. Et tunc efficiet ut default situs HTTPS occasus: 
    $ a2ensite default-ssl
  3. Nunc lima configurationem emendamus: /etc/apache2/sites-enabled/default-ssl.conf: 
        SSLEngine on
    SSLProtocol all -SSLv2

    SSLCertificateFile	/etc/apache2/sites-enabled/Server.crt
    SSLCertificateKeyFile /etc/apache2/sites-enabled/ServerKey.pem

    SSLCACertificateFile /etc/apache2/sites-enabled/CA.crt

    SSLVerifyClient require
    SSLVerifyDepth  10

    Nomina parametri (ut vides) cum nominibus parametri in nginx fere coincidunt, ideo non explicabo. Iterum, quisquis in singulis interest, documenta grata est.
    Nunc sileo nos servo nostro:

    $ service apache2 reload
$ service apache2 restart

    4. Ut videre potes, duos factores authenticas in quolibet instrumento interretiali constituendo, sive in Fenestra sive Linux, unam horam maximam sumit. Et navigatores erecti circiter 5 minuta sumit. Multi putant instituere et operari cum duobus factoris authenticas difficile et obscurum. Articulum nostrum hanc fabulae saltem parum debunks spero.

Tantum usores descripserunt in aliquet participare possunt. InscribeTe gratissimum esse.

Rogas instructiones ad constituendum TLS cum libellis secundum GOST 34.10-2012:

  • Ita, TLS-GOST perquam necessarium est

  • Minime, incedit cum algorithmis GOST non interesting

44 utentes censuerunt. 9 Utentes abstinuerunt.

Source: www.habr.com

Add a comment