0: /C=RU/ST=KRAST/L=Achinsk/O=AGK/OU=SB/

  CN=Pokhabov Aleksandr/emailAddress=chiko@example.com

  1: /C=RU/ST=KRAST/L=Achinsk/O=AGK/OU=SB/

  CN=Pokhabov Aleksandr/emailAddress=chiko@example.com

User PIN required.

Please enter PIN:

Всё! Ключ прошит. Распорядитесь ключами и сертификатом, находящимися в ~/demoCA, подобающим образом. Не стоит забывать, что одна из преследуемых нами целей – исключить наличие сертификатов и закрытых ключей на жестком диске.

Теперь мы готовы настроить PAM-аутентификацию, используя pam_opensc.so.

# mkdir ~/.eid

# pkcs15-tool -r 45 -o ~/.eid/authorized_certificates

Connecting to card in reader Aladdin eToken PRO...

Using card driver: Siemens CardOS

Trying to find a PKCS#15 compatible card...

Found Chiko Test Card!

Reading certificate with ID '45'

Регистрируемся как root и вносим необходимые изменения в настройку PAM. Для использования # su без запроса пароля членами группы wheel, имеющими аппаратный ключ, привожу пример конфигурационного файла:

# more /etc/pam.d/su

auth       sufficient   /lib/security/pam_opensc.so

auth       required     /lib/security/pam_wheel.so use_uid

account    required     /lib/security/pam_stack.so service=system-auth

session    required     /lib/security/pam_stack.so service=system-auth

Так как мы работали с учетной записью chiko (в вашем случае может быть другой), проверяем корректную работу следующим образом:

# su chiko

Using card reader Aladdin eToken PRO

Enter PIN1 [CHIKOPIN]:

$

Работает! Вывод # ps auxf докажет, что нет никакого обмана. Проверим логи:

# grep -ir pam_opensc /var/log/messages

Nov 11 16:43:00 workstation su(pam_opensc)[3374]:

Authentication successful for chiko at pts/0.

Извлечем ключ из USB:

# su chiko

No smart card present

su: Permission denied