Използване на InfoNotary сертификат на OmniKey CardMan 6121 под Slackware

Резюме

Тази малка статия описва инсталацията и конфигурацията на четец на карти OmniKey  CardMan 6121 под Slackware, което позволява използването на квалифициран електронен подпис на InfoNotary за електронно банкиране.

Подготовка

Пъхнете устройството в USB порт на вашия компютър, след като бъде разпознато от ядрото в изхода на командата lsusb трябва да откриете следното:

Bus 001 Device 028: ID 076b:6622 OmniKey AG CardMan 6121

Инсталиране на драйвери за устройството

Производителят на устройството предлага двоични драйвери за CardMan 6121 и други четци.

Ръчна инсталация

Изтеглете архива с драйвера и го разопаковайте във временна папка, след това пуснете
инсталиращия скрипт, например в Slackware64 14.1:

# cd /tmp
# wget 'http://www.hidglobal.com/sites/hidglobal.com/files/drivers/ifdokccid_linux_x86_64-v4.0.5.4.tar.gz'
# tar -xvf ifdokccid_linux_x86_64-v4.0.5.4.tar.gz
# cd ifdokccid_linux_x86_64-v4.0.5.4
# ./install

Автоматична инсталация

Предлага се пакет от SlackPack хранилищата за различни версии на Slackware наречен pcsc-omnikay, така че другата възможност е да ползвате инструмента slapt-get, след като конфигурирате SlackPack хранилищата и тогава просто да изпълните следната команда:

# slapt-get --install pcsc-omnikey

Инсталация на необходим софтуер

Нуждаете се от PC/SC Lite посредник за достъп до смарт картата използвайки SCard API (стандарт PC/SC), за пакети могат да бъдат намерени в SlackPack хранилищата за различни Slackware версии. Също така се нуждаете от OpenSC инструменти и библиотеки за работа със смарт карти които се използват в Firefox и Thunderbird. Пакети мога да бъдат намерени от същото място.

Ръчна инсталация

Изтеглете пакетите във временна папка, сдобийте се с root права и въведете следните команди, за да ги инсталирате, например в Slackware64 14.1:

# installpkg pcsc-lite-1.8.11-x86_64-1gds.txz
# installpkg opensc-0.14.0-x86_64-1gds.txz

Автоматична инсталация

Другояче, можете да използвате инструмента slapt-get, след като конфигурирате SlackPack хранилищата и тогава просто да изпълните следната команда:

# slapt-get --install pcsc-lite opensc

Демона на PC/SC Lite от пакета идава заедно със скрипт за пускане/спиране, така че можете да го пуснете просто със следната команда:

# /etc/rc.d/rc.pcscd start

Ако искате демона да се пуска автоматично със зареждането на системата, тогава просто го добавете към местния инициализиращ скрипт ето така:

# echo '/etc/rc.d/rc.pcscd start' >> /etc/rc.d/rc.local

Конфигурация на Firefox

След като драйвера и необходимия софтуер са инсталирани остава само да настроите Firefox, така че да може да общува с четеца на карти. Това става по следния начин:

1. Отворете Инструменти -> Настройки;
2. В прозореца Настройки на Firefox се придвижете до Разширени и след това раздел Сертификати;
3. Щракнете върху бутона Устройства по безопасността;
4. В прозореца Управление на устройства, който се отваря, щракнете върху бутона Зареждане отдясно;
5. Въведете "OpenSC PKCS#11 Module" в Име на модула и изберете файла
   /usr/lib64/onepin-opensc-pkcs11.so като Файл на модула, след това
   щракнете върху Добре;

След като модула е зареден в прозореца Управление на устройства се вижда информация за четеца:

Виж също

Инсталация на драйвери за четец и смарт карта в Linux.

Разрешаване договарянето на удостоверение във Firefox

Е, загубих малко време разследвайки това, така че реших да го споделя. Опитах се да настроя NTLM удостоверяване във Firefox с търсене в мрежата, но това което ме тормозеше беше, че не работи, докато с IE въобще нямаше проблем. Повечето от резултатите предлагаха задаването на network.automatic-ntlm-auth.trusted-uris и аз добавих вътрешните сайтове там. Дори опитах да разреша за всички сайтове като зададох стойността "http://,https://", но пак нямах успех.

Днес реших, че е време да намеря решение, така че започнах с опресняване на знанията си от Интернет. Обикновено web сървъра изпраща HTTP 401 Unauthorized (или Authorization Required) отговор, така че продължих с изследване на HTTP заглавките (с помощта на Live HTTP Headers разширението) и забелязах, че след него Firefox всъщност не праща нищо за вътрешните хостове, които вече бях задал в network.automatic-ntlm-auth.trusted-uris. Странно, а? Да, докато в един момента не забелязах следното:

Authorization: Negotiate ...

Значи, web сървъра всъщност предлагаше договаряне на удостоверяващия механизъм, вместо да иска направо NTLM, но Firefox не се договаряше. Това ме накара да се замисля, че нещо липсва и потърсих за други ключове свързани с удостоверяването в about:config. Така открих network.negotiate-auth.trusted-uris и веднъж като зададох имената на вътрешните хостове като стойност на този ключ всичко си дойде на мястото - Firefox вече договаряше удостоверяване, което всъщност се оказа Kerberos actually.

Така че, когато настройвате автоматично удостоверяване за вътрешни сайтове имайте в предвид задаването и на двата ключа network.automatic-ntlm-auth.trusted-uris и network.negotiate-auth.trusted-uris, за да ви работи дори ако удостоверяващия механизъм се договаря.