Руководство по подключению к удаленной машине с аутентификацией по сертификату

Общие сведения

Важные замечания

• Данный функционал работает исключительно через протокол GLINT.

• Все операции должны выполняться в указанном порядке для обеспечения корректной работы системы.

Предварительные требования

• Настройка инфраструктуры согласно требованиям системы.

• Проверка корректности настройки сертификата в Space Dispatcher.

• Подготовка USB-токена для использования в системе.

Настройка инфраструктуры

Настройка Space Dispatcher

1. Импорт в службу каталогов следующих компонентов:

   • Сертификат.

   • Список отзыва сертификатов (опционально).

2. Требования к формату импортируемых ключей:

   • Публичный ключ корневого сертификата.

   • Публичный ключ подчиненного сертификата.

Все добавляемые ключи должны быть в формате PEM:

----BEGIN CERTIFICATE----  
[содержимое ключа]  
----END CERTIFICATE----

Настройка публичного ключа подчиненного сертификата

1. Открыть экспортированный сертификат на сервере AD CS.

2. Скопировать ключ в поле Публичный ключ подчиненного сертификата.

-----BEGIN CERTIFICATE----- 

MIIDXzCCAkegAwIBAgIQdXmFuNVMWZhN/JQYBNQNpTANBgkqhkiG9w0BAQsFADBC 
[... содержимое сертификата ...]
ToKk 

-----END CERTIFICATE----- 

Настройка списка отзыва сертификатов

1. В Windows PowerShell на сервере AD CS выполнить:

   scp C:\CRL.crl username@10.0.0.0:/home/username
   

2. На хостовой машине преобразовать формат:

   openssl crl -in CRL.crl -inform DER -out CRL.pem
   

3. Вставить ключ в поле Список отзыва сертификатов.

   Пример формата CRL

   -----BEGIN X509 CRL-----
   
   MIIBsTCCARoCAQEwDQYJKoZIhvcNAQECBQAwYTERMA8GA1UEBxMISW50ZXJuZXQx
   [... содержимое CRL ...]
   YzucnM0=
   
   -----END X509 CRL-----
   

Настройка рабочей станции с Space Client

Установка Единого Клиента JaCarta

Перейти на официальный сайт и установить в соответствии с документацией производителя.

Установка JC-WebClient

Перейти на официальный сайт и установить в соответствии с документацией производителя.

После установки JC-WebClient необходимо перезапустить браузер для корректной работы.

Подключение к удаленной машине с аутентификацией по сертификату

1. Вставить USB-токен в машину с установленным Space Client.

2. Подключиться к Space Disp по токену.

   Для этого необходимо в Space Client включить опцию Вход по ключу и нажать Сохранить.

   Основные настройки

   

3. Нажать Войти.

   Вход по ключу

   

4. В открывшемся браузере выбрать сертификат и нажать Войти.

   Выбор сертификата

   

   Далее авторизация произойдет автоматически. Если этого не произошло, необходимо нажать Открыть Space Client.

   Вход в систему

   

5. В окне выбора пулов выбрать пул и подключиться по протоколу GLINT.

6. В окне Подключение к токену выполнить подключение, заполнив поля:

   • Выбрать USB-устройство.

   • Ввести пин-код от токена.

   • Ввести root пароль от машины, где запущен Space Client.

7. Нажать Подключиться. Дождаться подключения к ВМ.

   Подключение по токену

   

   Если подключение не удалось, отобразится ошибка. Подробнее см. в разделе Ошибки GLINT.