[Comm] ALD 4.0 + eToken

[Comm] ALD 4.0 + eToken

[Petr Nagornyy]

Всем привет.

Появилась такая-вот задача:
В офисе построена сеть MS под управление AS2000. 
Сейчас переходят на eToken авторизацию по смарт картам eToken Pro.
Картридеры Athena ASEDrive IIIe USB V2.
И теперь мне нужно подружить ALT Linux 4.0 и картридер + смарткарта для авторизации.
Я даже не знаю как к этому подступиться... 
Не сделаю, заставят юзать масдай... Помогайте народ!!! С чего начать?
//Наши админы только по винде... 

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 354 bytes --]

On Mon, 24 Sep 2007 14:52:12 +0400
Petr wrote:

>Не сделаю, заставят юзать масдай... Помогайте народ!!! С чего начать?

с втыкание кардридера в свободный usb слот.

http://www.nikhef.nl/pub/projects/grid/gridwiki/index.php/Aladdin_eToken_PRO_Manual_Installation

p.s. сам не пробовал. и, надеюсь, не буду.

-- 
np: Noumena - A Day To Depart

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Alex Gorbachenko пишет:
> On Mon, 24 Sep 2007 14:52:12 +0400
> Petr wrote:
> 
>> Не сделаю, заставят юзать масдай... Помогайте народ!!! С чего начать?
> 
> с втыкание кардридера в свободный usb слот.
> 
> http://www.nikhef.nl/pub/projects/grid/gridwiki/index.php/Aladdin_eToken_PRO_Manual_Installation
> 
> p.s. сам не пробовал. и, надеюсь, не буду.
> 
> 
А с чем связано такое неприятие авторизации с помощью смарткард?
Или есть другое не менее эффективное, но более дешевое решение?
Другими словами - как правильно бороться с тиражированием паролей 
для Альт?

Re: [Comm] ALD 4.0 + eToken

[Petr Nagornyy]

В сообщении от Monday 24 September 2007 22:40:53 Gennadiy Redko написал(а):
> Alex Gorbachenko пишет:
> > On Mon, 24 Sep 2007 14:52:12 +0400
> >
> > Petr wrote:
> >> Не сделаю, заставят юзать масдай... Помогайте народ!!! С чего начать?
> >
> > с втыкание кардридера в свободный usb слот.
> >
> > http://www.nikhef.nl/pub/projects/grid/gridwiki/index.php/Aladdin_eToken_
> >PRO_Manual_Installation
Софт от Алладина, есть для нескольких дистрибутивов:
Fedora Core 4 and higher
Redhat Enterprise Linux 4 and higher
Novell Suse Linux 

К кокому из этих дистрибутивов Alt ближе???


> > p.s. сам не пробовал. и, надеюсь, не буду.
>
> А с чем связано такое неприятие авторизации с помощью смарткард?
> Или есть другое не менее эффективное, но более дешевое решение?
> Другими словами - как правильно бороться с тиражированием паролей
> для Альт?
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] ALD 4.0 + eToken

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 351 bytes --]

Здравствуйте Petr Nagornyy
  В сообщении от Понедельник 24 сентября 2007 Petr 

http://sisyphus.altlinux.org/srpm/openct


-- 
  А ещё говорят так  (fortune):
 
Real Time, adj.: Here and now, as opposed to fake time, which only 
occurs there and then. 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 196 bytes --]

On Mon, 24 Sep 2007 19:40:53 +0300
Gennadiy wrote:

>Другими словами - как правильно бороться с тиражированием паролей 
>для Альт?

ключи/сертификаты ?

-- 
np: Insomnium - Mortal share

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Alex Gorbachenko пишет:
> On Mon, 24 Sep 2007 19:40:53 +0300
> Gennadiy wrote:
> 
>> Другими словами - как правильно бороться с тиражированием паролей 
>> для Альт?
> 
> ключи/сертификаты ?
> 
Они копируются.

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 198 bytes --]

On Tue, 25 Sep 2007 11:45:57 +0300
Gennadiy wrote:

>Они копируются.

а аппаратные ключи - отдаются :)

да и скопировать его наверняка трудно, но можно.

-- 
np: Insomnium - Mortal share

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Alex Gorbachenko пишет:
> On Tue, 25 Sep 2007 11:45:57 +0300
> Gennadiy wrote:
> 
>> Они копируются.
> 
> а аппаратные ключи - отдаются :)
Это другое...
И пин надо сказать...
> 
> да и скопировать его наверняка трудно, но можно.
Не говори "гоп", пока не перепрыгнешь.
(С) Вольный перевод украинской пословицы.
> 

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 428 bytes --]

On Tue, 25 Sep 2007 13:04:00 +0300
Gennadiy wrote:

>> а аппаратные ключи - отдаются :)  
>Это другое...
>И пин надо сказать...

я, скорее всего, недопонимаю ситуацию.

что мешает пользователю "Вася" сообщить пользователю "Петя" свой
пароль ? правильный ответ - ничто не мешает.

что мешает пользователю "Вася" сообщить пользователю "Петя" свой pin, и
отдать аппаратный ключ ?

-- 
np: Insomnium - Mortal share

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1048 bytes --]

Alex Gorbachenko пишет:
> On Tue, 25 Sep 2007 13:04:00 +0300
> Gennadiy wrote:
> 
>>> а аппаратные ключи - отдаются :)  
>> Это другое...
>> И пин надо сказать...
> 
> я, скорее всего, недопонимаю ситуацию.
> 
> что мешает пользователю "Вася" сообщить пользователю "Петя" свой
> пароль ? правильный ответ - ничто не мешает.
> 
> что мешает пользователю "Вася" сообщить пользователю "Петя" свой pin, и
> отдать аппаратный ключ ?

Мешает тем что пользователь "Вася" сам не сможет зайти в систему.

Кроме того большинство таких нарушений безопасности происходит примерно
таким образом:
Вася едет в командировку и потом звонит Пете и рассказывает что у него
на рабочем столе есть очень важный файл который он забыл взять.
Та тебе мои логин/пароль и пришли мне файл.

Это примерно 90% случаев.

Токен от такого защищает.

Кроме того он решает еще одну серьезную проблему:
записывание паролей на бумажке, приклеенной на монитор/под клавиатуру.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 659 bytes --]

Хихин Руслан пишет:
> Здравствуйте Petr Nagornyy
>   В сообщении от Понедельник 24 сентября 2007 Petr 
> 
> http://sisyphus.altlinux.org/srpm/openct

Это смотря что человеку надо.

Для работы с eToken Pro есть 2 пути:
1) openct + opensc
достоинства - легко прикручивается, нормально работает, все компоненты
open source
недостаток - несовместимо с родным софтом от Аладина и соотв. не будет
работать один токен для авторизации и в Win32 и в Linux
2) pcscd + софт от Аладин
достоинства - один ключ можно использовать и в Linux и в Win32
остальное недостатки :)


-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 372 bytes --]

On Tue, 25 Sep 2007 15:28:48 +0300
Maxim wrote:

>Вася едет в командировку и потом звонит Пете и рассказывает что у него
>на рабочем столе есть очень важный файл который он забыл взять.

те "Васи", которые работают со мной, легко уехав оставят ключ "Пете". а
pin запишут на бумажке, которую прилепят к монитору.

-- 
np: All That Remains - And Death in My Arms

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Alex Gorbachenko пишет:
> On Tue, 25 Sep 2007 15:28:48 +0300
> Maxim wrote:
> 
>> Вася едет в командировку и потом звонит Пете и рассказывает что у него
>> на рабочем столе есть очень важный файл который он забыл взять.
> 
> те "Васи", которые работают со мной, легко уехав оставят ключ "Пете". а
> pin запишут на бумажке, которую прилепят к монитору.
> 
При этом они
1. Не смогут работать удаленно сами.
2. Не смогут потом объяснить компрометацию своей учетной записи 
какими-либо независящими от их воли факторами.

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 574 bytes --]

On Tue, 25 Sep 2007 15:57:59 +0300
Gennadiy wrote:

>1. Не смогут работать удаленно сами.

им и не нужно.

>2. Не смогут потом объяснить компрометацию своей учетной записи 
>какими-либо независящими от их воли факторами.

аналогично предыдущему.

резюме: eToken хорош там, где реально работает некая политика
безопасности, утверждённая руководством. к сожалению, во многих случаях
"большой" менеджер, сказавший "мне так неудобно", сводит на нет все
усилия по обеспечению безопасности работы с информацией.

-- 
np: All That Remains - And Death in My Arms

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Alex Gorbachenko пишет:
> On Tue, 25 Sep 2007 15:57:59 +0300
> Gennadiy wrote:
> 
>> 1. Не смогут работать удаленно сами.
> 
> им и не нужно.
> 
В таком случае давайте тему закроем.

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1458 bytes --]

Alex Gorbachenko пишет:
> On Tue, 25 Sep 2007 15:57:59 +0300
> Gennadiy wrote:
> 
>> 1. Не смогут работать удаленно сами.
> 
> им и не нужно.
> 
>> 2. Не смогут потом объяснить компрометацию своей учетной записи 
>> какими-либо независящими от их воли факторами.
> 
> аналогично предыдущему.
> 
> резюме: eToken хорош там, где реально работает некая политика
> безопасности, утверждённая руководством. к сожалению, во многих случаях
> "большой" менеджер, сказавший "мне так неудобно", сводит на нет все
> усилия по обеспечению безопасности работы с информацией.

Такие резюме это бред.
Полная аналогия:
Сейфы нужны только там, где реально работает некая политика
безопасности, утвержденная руководством.
Мне же никто не мешает дать Васе свой ключ от сейфа и сказать ему код.

Конечно есть организации где все работают под одной администраторской
учетной записью и любые токены и смарт-карты в таком случае помогут как
мертвому припарки.


Но вот проблему с паролями токен решает четко.
Поясняю: пароли у пользователей должны быть сложными;
пароли у пользователей должны регулярно меняться.

И вот после этого начинаются проблемы.
От достаточно безобидной "забыл пароль", до записи паролей на
клавиатурах и мониторах.
Требования к пинкоду токена не такие высокие как к паролю.
Поэтому его себе может установить и запомнить любой пользователь.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Maxim Tyurin пишет:
> Alex Gorbachenko пишет:
>> On Tue, 25 Sep 2007 15:57:59 +0300
>> Gennadiy wrote:
>>
>>> 1. Не смогут работать удаленно сами.
>> им и не нужно.
>>
>>> 2. Не смогут потом объяснить компрометацию своей учетной записи 
>>> какими-либо независящими от их воли факторами.
>> аналогично предыдущему.
>>
>> резюме: eToken хорош там, где реально работает некая политика
>> безопасности, утверждённая руководством. к сожалению, во многих случаях
>> "большой" менеджер, сказавший "мне так неудобно", сводит на нет все
>> усилия по обеспечению безопасности работы с информацией.
> 
> Такие резюме это бред.
> Полная аналогия:
> Сейфы нужны только там, где реально работает некая политика
> безопасности, утвержденная руководством.
> Мне же никто не мешает дать Васе свой ключ от сейфа и сказать ему код.
> 
> Конечно есть организации где все работают под одной администраторской
> учетной записью и любые токены и смарт-карты в таком случае помогут как
> мертвому припарки.
> 
> 
> Но вот проблему с паролями токен решает четко.
> Поясняю: пароли у пользователей должны быть сложными;
> пароли у пользователей должны регулярно меняться.
> 
> И вот после этого начинаются проблемы.
> От достаточно безобидной "забыл пароль", до записи паролей на
> клавиатурах и мониторах.
> Требования к пинкоду токена не такие высокие как к паролю.
> Поэтому его себе может установить и запомнить любой пользователь.
А у Вас авторизация на чем выполнена?
Альт/неальт, локальный/внешний CA
Если не секрет :)

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 449 bytes --]

Gennadiy Redko пишет:
> Maxim Tyurin пишет:
> А у Вас авторизация на чем выполнена?
> Альт/неальт, локальный/внешний CA
> Если не секрет :)

Не секрет, но у меня пока пилотник.
Альт/неальт, локальный CA.

Над авторизацией я еще думаю и окончательно не решил что это будет.
Походу какая именно авторизация не так уж и важно. Главное чтоб через
pam работала.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Maxim Tyurin пишет:
> Gennadiy Redko пишет:
>> Maxim Tyurin пишет:
>> А у Вас авторизация на чем выполнена?
>> Альт/неальт, локальный/внешний CA
>> Если не секрет :)
> 
> Не секрет, но у меня пока пилотник.
> Альт/неальт, локальный CA.
> 
> Над авторизацией я еще думаю и окончательно не решил что это будет.
> Походу какая именно авторизация не так уж и важно. Главное чтоб через
> pam работала.
> 
Понятно.
Нам что-то сейчас соорудить нужно.
А безопасники предлагают какие-то шалаши под винду, не выдерживающие 
здоровой критики ;)

Re: [Comm] ALD 4.0 + eToken

[Gennadiy Redko]

Maxim Tyurin пишет:
> Gennadiy Redko пишет:
>> Maxim Tyurin пишет:
>> А у Вас авторизация на чем выполнена?
>> Альт/неальт, локальный/внешний CA
>> Если не секрет :)
> 
> Не секрет, но у меня пока пилотник.
> Альт/неальт, локальный CA.
> 
> Над авторизацией я еще думаю и окончательно не решил что это будет.
> Походу какая именно авторизация не так уж и важно. Главное чтоб через
> pam работала.
> 
А ключи - именно eToken?
Или нечто не такое "сертифицированное"?

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 698 bytes --]

Gennadiy Redko пишет:
> Maxim Tyurin пишет:
>> Gennadiy Redko пишет:
>>> Maxim Tyurin пишет:
>>> А у Вас авторизация на чем выполнена?
>>> Альт/неальт, локальный/внешний CA
>>> Если не секрет :)
>> Не секрет, но у меня пока пилотник.
>> Альт/неальт, локальный CA.
>>
>> Над авторизацией я еще думаю и окончательно не решил что это будет.
>> Походу какая именно авторизация не так уж и важно. Главное чтоб через
>> pam работала.
>>
> А ключи - именно eToken?
> Или нечто не такое "сертифицированное"?

Именно eToken Pro 32
Оно работает в linux.
Причем двумя путями.
Причем одним из них из коробки.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Petr Nagornyy]

В сообщении от Tuesday 25 September 2007 18:34:21 Maxim Tyurin написал(а):
> Хихин Руслан пишет:
> > Здравствуйте Petr Nagornyy
> >   В сообщении от Понедельник 24 сентября 2007 Petr
> >
> > http://sisyphus.altlinux.org/srpm/openct
>
> Это смотря что человеку надо.
>
> Для работы с eToken Pro есть 2 пути:
> 1) openct + opensc
> достоинства - легко прикручивается, нормально работает, все компоненты
> open source
> недостаток - несовместимо с родным софтом от Аладина и соотв. не будет
> работать один токен для авторизации и в Win32 и в Linux
> 2) pcscd + софт от Аладин
> достоинства - один ключ можно использовать и в Linux и в Win32
> остальное недостатки :)

Ох... сколько же флейма развели...
Но к счастью у нас с безопасностью оч. строго, пароли генерят каждую неделю...
Собсно из-за этого и переходят на смарт!

Итак:
Пробовал сегодня ставить по второму варианту как указано на сайте Аладина:
Взял дрова:
http://www.alladin.ru/bitrix/redirect.php?event1=download&goto=/upload/iblock/179/eToken_PKI_Client_for_Linux_v3_65.rar
Дрова там только под:
Fedora Core 4 and higher
Redhat Enterprise Linux 4 and higher
Novell Suse Linux

Собсно взял пакет от Suse, поправил sh-скрипт установки...
//там везде хочет библиотеки и программы из /usr/local/lib/; /usr/local/sbin/ 
вместо /usr/lob/; /usr/sbin/ как у меня... + еще пару мелочей... запустил... 
Все встало, все процессы стартанули без ошибок....

Но вот картридер не желал работать попрежнему.
Картридер ASEDrive IIIe Reader USB.
Поскольку ридер тоже Аладина (во всяком случае они его пропихивают на своем 
сайте и отдельных упоминаний о дровах нет), изначалльно я думал, что они 
будут в комплекте.
Начал копать дальше, нашел дрова тут (не могли выложить на сайте Аладина 
гады((...):
http://www.athena-scs.com/downloads.asp

Скачал: asedriveiiie-usb-3.4.tar.bz2
./configure - прошел без проблемм...
make - выдал одну ошибку:
	    типа нужна библиотека libASEDriveIIIe-USB.so

Начал рыть, нашел что нужный файл есть библиотеке для Деба и Убунту: 
libasedrive-usb_3.2-5_i386.deb
Под альт таковой нету (((... Вообще нету кроме как для Деба и Убунту((((((

Вообщем чего делать дальше? Скачать пакет для Деба вытащить и отдельно слить 
libASEDriveIIIe-USB.so в /usr/lib/ ? 
И попробовать откомпилить драва?

Сорри, если много понаписал, но я уже пошел спать, если будут идеи напишите 
плиз...
Утром буду разбираться дальше. Спасибо. Удачи.

Re: [Comm] ALD 4.0 + eToken

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 422 bytes --]

On Tue, 25 Sep 2007 23:58:47 +0600
Petr wrote:

>Начал рыть, нашел что нужный файл есть библиотеке для Деба и Убунту: 
>libasedrive-usb_3.2-5_i386.deb
>Под альт таковой нету (((... Вообще нету кроме как для Деба и
>Убунту((((((

на packages.debian.org взять исходники (если они есть) и собрать. иначе
вытащить нужную библиотеку и положить её в /usr/local/lib.

-- 
np: All That Remains - Focus Shall Not Fail

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] ALD 4.0 + eToken

[Ivanov Maxim]

В сообщении от Tuesday 25 September 2007 15:48:27 Alex Gorbachenko написал(а):
> On Tue, 25 Sep 2007 13:04:00 +0300
>
> Gennadiy wrote:
> >> а аппаратные ключи - отдаются :)
> >
> >Это другое...
> >И пин надо сказать...
>
> я, скорее всего, недопонимаю ситуацию.
>
> что мешает пользователю "Вася" сообщить пользователю "Петя" свой
> пароль ? правильный ответ - ничто не мешает.
>
> что мешает пользователю "Вася" сообщить пользователю "Петя" свой pin, и
> отдать аппаратный ключ ?

Тем что если та же смарт карта используется например для входа в здание и в 
рабочий кабинет, то вася отдав смарткарту просто не попадёт на работу =)

Re: [Comm] ALD 4.0 + eToken

[Ivanov Maxim]

В сообщении от Tuesday 25 September 2007 19:52:49 Maxim Tyurin написал(а):
> Gennadiy Redko пишет:
> > Maxim Tyurin пишет:
> > А у Вас авторизация на чем выполнена?
> > Альт/неальт, локальный/внешний CA
> > Если не секрет :)
>
> Не секрет, но у меня пока пилотник.
> Альт/неальт, локальный CA.

Вот по поводу СА под Linux сам интересуюсь. Есть ли более менее вменяемые 
варианты? Вроде как всё для криптографии есть, должен же быть СА? Мельком 
смотрел tinyCA но он только локальный похоже.

Re: [Comm] ALD 4.0 + eToken

[Maxim Tyurin]

Ivanov Maxim writes:

> В сообщении от Tuesday 25 September 2007 19:52:49 Maxim Tyurin написал(а):
>> Gennadiy Redko пишет:
>> > Maxim Tyurin пишет:
>> > А у Вас авторизация на чем выполнена?
>> > Альт/неальт, локальный/внешний CA
>> > Если не секрет :)
>>
>> Не секрет, но у меня пока пилотник.
>> Альт/неальт, локальный CA.
>
> Вот по поводу СА под Linux сам интересуюсь. Есть ли более менее вменяемые 
> варианты? Вроде как всё для криптографии есть, должен же быть СА? Мельком 
> смотрел tinyCA но он только локальный похоже.

Раньше делал все скриптами.
Теперь как раз на TinyCA и перешел :)
А какой функциональности тебе не хватает?
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/