Перейти к содержанию

Руководство по подключению к удаленной машине с аутентификацией по сертификату

Общие сведения

Важные замечания

  • Данный функционал работает исключительно через протокол GLINT.

  • Все операции должны выполняться в указанном порядке для обеспечения корректной работы системы.

Предварительные требования

  • Настройка инфраструктуры согласно требованиям системы.

  • Проверка корректности настройки сертификата в Space Dispatcher.

  • Подготовка USB-токена для использования в системе.

Настройка инфраструктуры

Настройка Space Dispatcher

  1. Импорт в службу каталогов следующих компонентов:

    • Сертификат.

    • Список отзыва сертификатов (опционально).

  2. Требования к формату импортируемых ключей:

    • Публичный ключ корневого сертификата.

    • Публичный ключ подчиненного сертификата.

Все добавляемые ключи должны быть в формате PEM:

----BEGIN CERTIFICATE----  
[содержимое ключа]  
----END CERTIFICATE----

Настройка публичного ключа подчиненного сертификата

  1. Открыть экспортированный сертификат на сервере AD CS.

  2. Скопировать ключ в поле Публичный ключ подчиненного сертификата.

Пример формата сертификата 
-----BEGIN CERTIFICATE----- 

MIIDXzCCAkegAwIBAgIQdXmFuNVMWZhN/JQYBNQNpTANBgkqhkiG9w0BAQsFADBC 
[... содержимое сертификата ...]
ToKk 

-----END CERTIFICATE-----

Настройка списка отзыва сертификатов

  1. В Windows PowerShell на сервере AD CS выполнить:

    scp C:\CRL.crl username@10.0.0.0:/home/username

  2. На хостовой машине преобразовать формат:

    openssl crl -in CRL.crl -inform DER -out CRL.pem

  3. Вставить ключ в поле Список отзыва сертификатов.

    Пример формата CRL 
    -----BEGIN X509 CRL-----

MIIBsTCCARoCAQEwDQYJKoZIhvcNAQECBQAwYTERMA8GA1UEBxMISW50ZXJuZXQx
[... содержимое CRL ...]
YzucnM0=

-----END X509 CRL-----

Настройка рабочей станции с Space Client

Установка Единого Клиента JaCarta

Перейти на официальный сайт и установить в соответствии с документацией производителя.

Установка JC-WebClient

Перейти на официальный сайт и установить в соответствии с документацией производителя.

После установки JC-WebClient необходимо перезапустить браузер для корректной работы.

Подключение к удаленной машине c аутентификацией по сертификату

  1. Вставить USB-токен в машину с установленным Space Client.

  2. Подключиться к Space Disp по токену.

    Для этого необходимо в Space Client включить опцию Вход по ключу и нажать Сохранить.

    Основные настройки

    image

  3. Нажать Войти.

    Вход по ключу

    image

  4. В открывшемся браузере выбрать сертификат и нажать Войти.

    Выбор сертификата

    image

    Далее авторизация произойдет автоматически. Если этого не произошло, необходимо нажать Открыть Space Client.

    Вход в систему

    image

  5. В окне выбора пулов выбрать пул и подключиться по протоколу GLINT.

  6. В окне Подключение к токену выполнить подключение, заполнив поля:

    • Выбрать USB-устройство.

    • Ввести пин-код от токена.

    • Ввести root пароль от машины, где запущен Space Client.

    Примечание

    Если настроен беспарольный проброс USB IP, то вводить root пароль не потребуется (поле ввода будет отсутствовать).

  7. Нажать Подключиться. Дождаться подключения к ВМ.

    Подключение по токену

    image

    Если подключение не удалось, отобразится ошибка. Подробнее см. в разделе Ошибки GLINT.