Logowanie Kartą Inteligentną Gemalto

[slmb_slavko]

Ma problem ze skonfigurowaniem autoryzacji kartą inteligentną.

     Zainstalowałem już wszystkie niezbędne pakiety tj. (pcscd,libccid,pcsc-tools,opensc,coolkey). Chciałbym czytać certyfikat, który jest zapisany na karcie, a następnie mapować go do nazwy użytkownika i weryfikować te poświadczenia przez LDAP, który jest posatwiony na Windows 2008 R2 Server.
pcsc_scan widzi tę kartę (jest odpowiedź na reset ATR) lecz na tym koniec.

 

To jest ATR mojej karty:  3B 7D 96 00 00 80 31 80 65 B0 83 11 00 C8 83 00 90 00

Karta jest firmy Gemalto Clasic TCP

Po skonfigurowaniu pkcs11.conf i podłączeniu bibliioteki coolkey nic się nie dzieje (empty slot). Czy potrzebuję dedykowanego sterownika pod kartę ? jak to skonfigurować bym mógł dobrać się do certyfikatu ?

Bardzo proszę o jakąkolwiek sugestię


Pozdrawiam !

[Fedoras]

Z takim ATR masz kartę Gemalto Classic TPC IM CC

http://ludovic.rousseau.free.fr/softwares/pcsc-tools/smartcard_list.txt

czyli:

http://www.usmartcards.com/smart-cards/microprocessor-cards-1/gemalto-java-cards.html

 

Pewnie przydałby się jakiś menedżer do oglądania i zarządzania certyfikatem np.:

http://directory.fedoraproject.org/wiki/ESC_Guide

 

CoolKey Java Applet był testowany tylko z GEMAlto Cyberflex E-gate:

http://directory.fedoraproject.org/wiki/CoolKey

i wymagał dodatkowo Cyberflex Access SDK od Gemalto i java card toolkit od Suna

 

Ale i tak były problemy:

https://bugzilla.redhat.com/show_bug.cgi?id=652037

[slmb_slavko]

Bardzo dziękuję za zainteresowanie i pomoc.

 

Zainstalowałem menedżera "ESC" do zarządzania certyfiaktem. Reaguje on na obecnośc karty w czytniku i na tym koniec .

 

Zainstalowałem jeszcze opensc i po wydaniu polecenia : opensc-tool -an dostaje ATR  i komunikat Unsupported card.

 

po wpisaniu : pkcs11-tool --module /usr/lib/libcoolkeypk11.so -L

                     Available slots:
                     Slot 0 (0x1): Gemalto PC Twin Reader 00 00
                     (empty)

 

Czy jest jakiś sposób aby obsłużyć moją kartę ? Czy support Gemalto może mieć biblioteke do tej karty, czy musiałbym sam napisac driver ? - tylko skąd specyfikacja ( komenty APDU - itd. )

[Fedoras]

Chyba bez pytania do Gemalto sie nie obejdzie. Firma nie przyznaje się do tej karty

http://www.gemalto.com/products/

W Gemalto nie udało mi się jej znaleźć. Najbardziej podobne jakie prezentują to IDClassic 300 series (legacy name: TPC), ale to karty parę generacji nowsze.

http://www.gemalto.com/products/classic_tpc/

 

A może Ludwik Rousseau coś będzie wiedział?

http://ludovicrousseau.blogspot.com/

 

EDIT

W Fedorze jest pcsc-tools w wersji 1.4.17, a w rzeczywistości jest już pcsc-tools-1.4.21

http://ludovic.rousseau.free.fr/softwares/pcsc-tools/

Edytowane Marzec 13, 2013 przez Fedoras

[slmb_slavko]

Dzwoniłem do dwóch polskich dytrybutorów Gemalto "Prokard" i "Intersoft" i oczywiście są dedykowane biblioteki pod Linuxa tylko trzeba za to płacić.

Jedna licencja kosztuje 10 EURO przy zamówieniu na 200 szt.

Okazało się że mam karty starej generacji ( firmware V1 i V3 ), a obecnie produkowane to V7.

Znalazłem cudem na jakieś francuskiej stronie starą bibliotekę ClassicClient 5.1 pod dystrybucję Redhat i Debian. Zainstalowałem i można odczytać certyfikat z karty. Więc trzeba będzie zakupić kilkadziesiąt licencji do firmy i wdrożyć ambitny plan autoryzacji kartą . Jeżeli chcesz mogę podesłać na e-maila.

 

Teraz jeszcze została kwestia ustawienia Linux PAM i pkcs11 i ldap by mapować certyfikat i weryfikować poświadczenia z bazą w active directory. Jak to zrobić po kolei ?

 

 

Pozdrawiam

[Fedoras]

 

Teraz jeszcze została kwestia ustawienia Linux PAM i pkcs11 i ldap by mapować certyfikat i weryfikować poświadczenia z bazą w active directory. Jak to zrobić po kolei ?

 

Pozdrawiam

Tu odpadam, ale warto zastanowić się nad inwestowaniem w coś z zakresu bezpieczeństwa, pochodzące z 2009 roku (4 lata). Te rzeczy są wrażliwe na czas. Gdyby nie było jakichś szczególnych powodów, to Gemalto w dalszym ciągu pokazywałby te produkty na swojej stronie.

 

Do testów może to i dobre, ale produkcyjnie bym się nie odważył.

 

Pozdrawiam