Erinevus lehekülje "Eesti ID-kaardi kasutamine Debianiga" redaktsioonide vahel

Allikas: Kuutõrvaja
(ID kaardi kasutamine chroot keskkonnast)
(ID kaardi kasutamine chroot keskkonnast)
118. rida: 118. rida:
 
Üks praktiline vajadus kasutada ID kaarti chroot programmiga moodustatud chroot keskkonnast oleks 64 bit Debiani operatsioonisüsteemis kasutada 32 bit Iceweaselit'i. Põhjusel, et 32 bit arhitektuurile on olemas Iceweaseli java plugin (pakett sun-java6-plugin), aga 64 bitile seda pole. Omakorda on java vajalik, et saaks nt SEB pangas allkirjastada st sooritada ülekannet.
 
Üks praktiline vajadus kasutada ID kaarti chroot programmiga moodustatud chroot keskkonnast oleks 64 bit Debiani operatsioonisüsteemis kasutada 32 bit Iceweaselit'i. Põhjusel, et 32 bit arhitektuurile on olemas Iceweaseli java plugin (pakett sun-java6-plugin), aga 64 bitile seda pole. Omakorda on java vajalik, et saaks nt SEB pangas allkirjastada st sooritada ülekannet.
  
Tundub, et kui arvutile külge ühendatud ID kaarti on tarvis kasutada chroot käsu abil moodustatud chroot keskkonnast, siis tuleb öelda
+
Tundub, et kui arvutile külge ühendatud ID kaarti on tarvis kasutada chroot käsu abil moodustatud chroot keskkonnast, siis tuleb öelda (pcscd deemon töötab nn absoluutses arvutis)
  
 
   # mount --bind /var/run/pcscd /srv/arvuti-32/var/run/pcscd
 
   # mount --bind /var/run/pcscd /srv/arvuti-32/var/run/pcscd

Redaktsioon: 29. september 2008, kell 13:09

Sissejuhatus

Eesti ID-kaart on nn protsessorkaart, mis võimaldab autentimist ja allkirjastamist.

Tööleseadmine

Esmalt tuleb omandada ID-kaart ning ID-kaardilugeja, nt sobib mudel SRC-331, ehk kõige parem kui kaardilugeja ühendub arvutiga USB abil. Debian Etch ja Lenny sisaldavad paketihalduses ID-kaardi kasutamiseks sobivat tarkvara, mille koduleht asub aadressil http://ideelabor.ee/.

USB kaudu ühendatud ID-kaardilugeja kasutamise eelduseks on, et operatsioonisüsteem toetab USB seadmete kasutamist, sellest annab tunnistus peale kaardilugeja ühendamist lsusb sarnane väljund, kus on muu seas näha SCR331 seadmele vastav rida 

 # lsusb
 Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
 Bus 003 Device 002: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader
 Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
 Bus 002 Device 006: ID 04e6:e001 SCM Microsystems, Inc. SCR331 SmartCard Reader
 Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
 Bus 001 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

ID-kaardiga suhtlemiseks vajaliku tarkvara paigaldamiseks tuleb öelda 

 # apt-get install opensc pcscd libccid

Seejärel tuleb redigeerida kahte faili

  • Näitena jagatavas /etc/opensc/opensc.conf failis tuleb teha kolm muudatust
 # zcat /usr/share/doc/libopensc2/examples/opensc.conf.gz > /etc/opensc/opensc.conf

Leidke failist üles need parameetrid ning muutke nende väärtused sellisteks 

 try_emulation_first = yes;
 lock_login = false;
 reader_drivers = pcsc, ctapi;
  • Failis /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist peavad sisalduma sellised read, leidke ja muutke olemasolevaid
 <key>ifdDriverOptions</key>
 <string>0x0004</string>

Seejärel seisake ja käivitage pcscd deemon 

 # /etc/init.d/pcscd restart

Kontrollimaks, et tarkvara sai korrektselt paigaldatud küsime süsteemi ühendatud kaardilugejate nimekirja 

 # opensc-tool -l
 Readers known about:
 Nr.    Driver     Name
 0      pcsc       SCM SCR 331 00 00

Ning küsime ID-kaardile kantud sertifikaatide nimekirja 

 # pkcs15-tool -c
 X.509 Certificate [Isikutuvastus]
       Flags    : 0
       Authority: no
       Path     : 3f00eeeeaace
       ID       : 01
 
 X.509 Certificate [Allkirjastamine]
       Flags    : 0
       Authority: no
       Path     : 3f00eeeeddce
       ID       : 02

ID-kaardi kasutamine

Üks lihtne ID-kaardi kasutusala oleks sertifikaadi kopeerimine ID-kaardilt, sedasi 

 # pkcs15-tool -r 01
 -----BEGIN CERTIFICATE-----
 MIIEGjCCAwKgAwIBAgIESIQxaDANBgkqhkiG9w0BAQUFADBbMQswCQYDVQQGEwJF
 RTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMG
 RVNURUlEMRcwFQYDVQQDEw5FU1RFSUQtU0sgMjAwNzAeFw0wODA3MjEwNjQ5MTJa
 Fw0xMjA5MTEyMTAwMDBaMIGRMQswCQYDVQQGEwJFRTEPMA0GA1UEChMGRVNURUlE
 MRcwFQYDVQQLEw5hdXRoZW50aWNhdGlvbjEhMB8GA1UEAxMYT09MQkVSRyxJTVJF
 LDM3MDAzMjEyNzEzMRAwDgYDVQQEEwdPT0xCRVJHMQ0wCwYDVQQqEwRJTVJFMRQw
 EgYDVQQFEwszNzAwMzIxMjcxMzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
 3FR0AP2oX5NCs8+u/hNpnYWyB2eNrnWyG3JXsiqCo14uAaOVmMb82g73SRLPEnAG
 yxU/GtRuKT7iOg4f+HTy9bGBaJp6/N9uH8MNtkOzoDppMn909Rm+OqIaHMQkskFC
 Kd8X3deAtEwI/YektKKnPbFEZFfLxLKbxvB4WNhFbYECA1W7daOCATEwggEtMA4G
 A1UdDwEB/wQEAwIEsDAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwPAYD
 VR0fBDUwMzAxoC+gLYYraHR0cDovL3d3dy5zay5lZS9jcmxzL2VzdGVpZC9lc3Rl
 aWQyMDA3LmNybDAgBgNVHREEGTAXgRVpbXJlLm9vbGJlcmdAZWVzdGkuZWUwUQYD
 VR0gBEowSDBGBgsrBgEEAc4fAQEBATA3MBIGCCsGAQUFBwICMAYaBG5vbmUwIQYI
 KwYBBQUHAgEWFWh0dHA6Ly93d3cuc2suZWUvY3BzLzAfBgNVHSMEGDAWgBRIBt6+
 jIdXlYB4Y/qcIysroDoYdTAdBgNVHQ4EFgQUvIL+20MDRof3J9Avt6Z3d1obuAUw
 CQYDVR0TBAIwADANBgkqhkiG9w0BAQUFAAOCAQEAajU/cJ7zVocAkJDgIrV8gXn3
 hZ9CM5k1/W3GVEEXqkdTHU/clW5D14PmC+f2a7rN2FxJ3bQuxU/xB6W4xKDZ9fys
 Y31lGxpPHIsHwqaPl93l1u3iaMo9835yMVfiZOi0Iq2y0ZlnPwVAOjWNUzMwikdj
 1ElhnHacFc4NrevOqgaOZIN2A1DIDgxMXLiR8PAHlPSnK8cXnClRXgcIT3p4OPYy
 rH6z7z5vZN4059dNaqZqVg5rlVrLS5/T+sK8PHxYcO+SKDZYobddJIv6i2XlpVAQ
 LgkChEiXI2Bd3AMfpwfVbAjDsHXasblBtut7k1MItT3YLaNZ/xq9BY/B7afXqg==
 -----END CERTIFICATE-----

Selle sertifikaadi sisu arusaadavamale kujule viimiseks tuleb öelda 

 # pkcs15-tool -r 01 > /tmp/imre.pub
 # openssl x509 -in /tmp/imre.pub -noout -text
 Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 1216622952 (0x48843168)
       Signature Algorithm: sha1WithRSAEncryption
       Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=ESTEID, CN=ESTEID-SK 2007
       Validity
           Not Before: Jul 21 06:49:12 2008 GMT
           Not After : Sep 11 21:00:00 2012 GMT
       Subject: C=EE, O=ESTEID, OU=authentication, CN=OOLBERG,IMRE,37003212713, SN=OOLBERG, GN=IMRE/serialNumber=37003212713
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (1024 bit)
               Modulus (1024 bit):
 ..

ID kaardi kasutamine chroot keskkonnast

Üks praktiline vajadus kasutada ID kaarti chroot programmiga moodustatud chroot keskkonnast oleks 64 bit Debiani operatsioonisüsteemis kasutada 32 bit Iceweaselit'i. Põhjusel, et 32 bit arhitektuurile on olemas Iceweaseli java plugin (pakett sun-java6-plugin), aga 64 bitile seda pole. Omakorda on java vajalik, et saaks nt SEB pangas allkirjastada st sooritada ülekannet.

Tundub, et kui arvutile külge ühendatud ID kaarti on tarvis kasutada chroot käsu abil moodustatud chroot keskkonnast, siis tuleb öelda (pcscd deemon töötab nn absoluutses arvutis) 

 # mount --bind /var/run/pcscd /srv/arvuti-32/var/run/pcscd

ning seejärel tuleb käivitada iceweasel nt selliselt läbi sudo 

 $ sudo /usr/sbin/chroot /srv/arvuti-32 iceweasel

Selleks, et chroot keskkonnas käivitatud iceweasel saaks näidata oma pilti X serverile tuleb xhost käsuga kaasa aidata.

Kirjeldatud asjakorralduse puhul ei ole tarvis chroot keskkonda ühendada külge mingeid muid failisüsteeme (nt /proc, /sys) ega käivitada seal deemoneid pcscd vms.

Sudo töötamiseks on vajalik omakorda sellist sisu /etc/sudoers faili 

 User_Alias CHROOT_USERS = mart
 Cmnd_Alias CHROOT_CMD = /usr/sbin/chroot
 Host_Alias MORAAL = arvuti
 CHROOT_USERS MORAAL = (root) NOPASSWD: CHROOT_CMD

Milliseid turvariske selline asjakorraldus tema jaoks toob peab iga kasutaja ise hindama.

Kasulikud lisamaterjalid

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Eesti_ID-kaardi_kasutamine_Debianiga&oldid=8717"