Сертификаты

Общее описание

Описанный ниже функционал подходит только для работы по протоколу GLINT.

Прежде чем приступать к настройкам необходимо:

• настроить инфраструктуру предприятия;
• выпустить клиентские сертификаты: корневой и подчиненный.

Функционал позволяет выполнить вход в систему и ВМ/ФМ без ввода/передачи пользовательского пароля.

Настройка Space Dispatcher

Функционал рассчитан на то, что в процессе работы задействована служба активного каталога, поэтому для первичной настройки необходимо убедиться в её наличие в диспетчере.

Если служба активного каталога не используется (или существующая служба не поддерживается Space Disp), то рекомендуется добавить фиктивную службу каталогов с абстрактными данными.

Добавление службы активного каталога.

Для добавления фиктивной службы рекомендуется заполнить форму по аналогии с примером.

Для добавления сертификата необходимо перейти во вкладку Сертификаты и нажать кнопку Добавить сертификат.

Далее в открывшемся окне заполнить поля:

• Публичный ключ корневого сертификата.

  Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).

• Публичный ключ подчиненного сертификата.

  Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).

• Фильтр ключей по DC в Issuer сертификата.

  Можно указать значение, которое будет использовано для фильтрации сертификатов на токене и сокращения списка сертификатов отображаемых пользователю.

  Например, если указать в этом поле spacevm.ru, то в списке сертификатов на входе в Space Client будут отображаться только сертификаты, у которых в атрибуте Issuer указано это значение.

• Список отзывов.

  Можно внести содержимое файла CertificateRevocationList (CRL). Данное содержимое будет преобразовано и может быть использовано для преждевременного отзыва действующего сертификата пользователя.

После заполнения полей подтвердить действия, нажав кнопку Добавить.

Дополнительная информация

1. Для принудительной блокировки входа по сертификату можно удалить службу каталогов или удалить сертификаты.

2. После первого успешного входа пользователя по сертификату SN-ключа, с которого выполнен вход, ключ будет сохранен и вход с другим ключом по этому же сертификату будет заблокирован.

3. Для активации возможности пользовательского входа с другим ключом необходимо перейти в раздел Пользователи, выбрать пользователя и нажать кнопку Сброс USB-токена.

Настройка устройства, с которого идет подключение

Для возможности входа в Space Disp на устройстве, с которого идет подключение, должно быть:

• установлено ПО Space Client версии 3.6.4 и выше;
• установлено ПО для работы с токенами, например, JC-WebClient;
• браузер на "движке" Chrome (Chromium, Google Chrome и т.п.).

Перед активацией режима входа по токену/сертификату необходимо:

• открыть настройки Space Client;
• перейти в раздел Настройки - Основные;
• включить опцию Вход по ключу.

Также для успешного подключения к ВМ должен быть настроен функционал проброса устройств.

Настройка устройства, к которому идет подключение (ВМ/ФМ)

Для настройки необходимо воспользоваться документацией производителя/поставщика крипто-устройства.

Дополнительная информация о JaCarta в AstraLinux.