Общие сведения
Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, использующих APM под управлением Astra Linux. В инструкции описывается настройка 2FA для APM с использованием Astra Linux. Интеграция реализуется с использованием компонента Avanpost FAM Linux Logon (PAM-модуль) и механизма Linux Logon-приложений в Avanpost FAM.
Настройка на стороне рабочей станции
Порядок и особенности настройки на стороне рабочей станции зависят от типа операционной системы пользователя.
| Тип операционной системы | Способ установки |
|---|---|
| Установка FAM Linux Logon в Astra Linux из .tar.gz |
| Установка FAM Linux Logon в РЕД ОС |
| Установка FAM Linux Logon в ALT Linux |
| Установка FAM Linux Logon из deb-пакета |
Настройка на стороне Avanpost FAM
Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Linux Logon-приложениями).
Наименование создаваемого приложения типа Linux Logon не должно содержать пробелов (например,
sshd_pam_1). - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Linux Logon-приложения).
- На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" (
). - На последующих шагах установить дополнительные факторы аутентификации.
- На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" (
На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Linux Logon-приложения).
Создать новую группу. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно в Добавление новых групп).
Добавить в группу пользователей, которые будут аутентифицироваться в настроенных приложениях. Ручное добавление пользователей администратором реализуется в профиле группы. Также доступ пользователя к группам и ролям допускается редактировать в УЗ пользователя.
Назначить ранее созданное Linux Logon-приложение в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" (
) напротив созданных приложений.
Настройка работы с аппаратными токенами
Для использования hardware-аутентификации при помощи криптографических устройств в Avanpost Linux Logon реализована поддержка токенов через внешние плагины (библиотеки PKCS#11). Настройка использования токенов выполняется следующим образом:
- Установить драйверы токена (например,
librtpkcs11ecp.soдля Рутокен илиlibjcPKCS11-2.soдля JaCarta). - Загрузить дистрибутивы с плагинами.
- Настроить конфигурационный файл Avanpost Linux Logon, раздел
[plugin].
Проверка установки
Для проверки корректности установки PAM-модуля требуется выполнить следующие действия:
Создать в административной консоли Avanpost FAM пользователя с тем же логином и паролем, что и в ОС.
Добавить пользователя в группу, для которой настроен доступ к Linux Logon-приложению проверяемого PAM-модуля.
- Инициировать вход в операционную систему (локально, посредством SSH или через графический интерфейс).
- Убедиться, что запрашиваются факторы в соответствии с настроенным сценарием аутентификации.
В процессе проверки и отладки PAM-модуля рекомендуется использовать системные журналы аутентификации в реальном времени:
sudo tail -f /var/log/auth.log
sudo journalctl -u sshd -f