Настройки утилиты auth_login выполняются в конфигурационном файле /opt/VPNagent/etc/auth_login.ini, представляющем обычный текстовый файл.
После выполнения настроек необходимо пересчитать сумму измененного файла, запустив утилиту integr_mgr calc:
root@sterragate:~# integr_mgr calc –f /opt/VPNagent/etc/auth_login.ini
Строки, начинающиеся с восклицательного знака (!), считаются комментариями и игнорируются. Пустые строки игнорируются.
В начале файла идут опциональные глобальные настройки, а затем – секции.
Глобальные настройки – автологин
Задается глобальный параметр – автологин. Для выполнения автологина необходимо, чтобы далее в настройках присутствовал администратор (пользователь с параметром role=admin), у которого указан пустой пароль. Этот администратор должен быть первым по счету.
autostart={ on | off }
on автологин включен. При первом старте утилиты делается попытка выполнить автологин.
off автологин отключен (значение по умолчанию).
Секции
В каждой секции задаются параметры отдельного пользователя.
[<section_name>]
<param_name>=<param_val>
где
<section_name> имя секции задает имя пользователя,
<param_name> имя параметра,
<param_val> значение параметра.
Возможные параметры:
role={ admin | user }
admin администратор
user пользователь (значение по умолчанию)
container=<container_name>
container_name имя контейнера, к которому производится проверка доступа. Обязательный параметр.
public_key=<public_key_file_path>
public_key_file_path путь к файлу с публичным ключом. Опциональная защита от подмены контейнера: проверка подписи с использованием публичного ключа, сохраненного отдельно от контейнера. При отсутствии параметра – подпись не проверяется.
Для экспорта публичного ключа из контейнера в файл, при использовании СКЗИ «КриптоПро CSP», выполните команду csptest (csptest находится в каталоге /opt/cprocsp/bin/ia32 или /opt/cprocsp/bin/amd64), например:
csptest -keyset -container '<container_name>' -keytype signature -machinekeyset -export <public_key_file_path>
Примечание: если в контейнере присутствует только ключ типа exchange, следует заменить в команде -keytype signature на -keytype exchange.
Экспортировать публичный ключ из контейнера в файл, при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи», можно командой:
/opt/VPNagent/bin/cont_mgr export -cont <container_name> -PIN <container_password> -ext <public_key_file_path>
config_user=<cs_console_user>
cs_console_user пользователь ОС, от имени которого происходит вход в режим конфигурирования (запуск cs_console). Имеет смысл только для администратора. Пользователь <cs_console_user> обязательно должен присутствовать в ОС и иметь cs_console в качестве Shell. При отсутствии параметра делается попытка подставить имя администратора в качестве <cs_console_user>. Если <cs_console_user> отсутствует в ОС или его Shell отличен от cs_console, cs_console запускается от имени пользователя root.
Пример конфигурационного файла
Ниже приведен пример файла auth_login.ini в случае применения СКЗИ «КриптоПро CSP».
! This is a comment
autostart=on
[admin]
role=admin
container=HDIMAGE\\admincont
public_key=/opt/VPNagent/etc/admincont_public_key
config_user=cscons
[user]
role=user
container=HDIMAGE\\usercont
public_key=/opt/VPNagent/etc/usercont_public_key
Пример конфигурационного файла при использовании криптобиблиотеки, разработанной компанией «С-Терра СиЭсПи».
! This is a comment
autostart=on
[admin]
role=admin
container=file://admincont
public_key=/opt/VPNagent/etc/admincont_public_key
config_user=cscons
[user]
role=user
container= file://usercont
public_key=/opt/VPNagent/etc/usercont_public_key