Сертификаты
Общее описание
Описанный ниже функционал подходит только для работы по протоколу GLINT.
Внимание
Функционал для входа в систему по протоколу GLINT с помощью сертификата является экспериментальным.
При возникновении ошибок рекомендуется обратиться к Авторизованному Центру Технической Поддержки производителя или ознакомиться с уже зарегистрированными запросами на платформе Space Bugzilla.
Центр предоставляет поддержку по вопросам установки, настройки и функционирования продуктов экосистемы Space.
Прежде чем приступать к настройкам необходимо:
- настроить инфраструктуру предприятия;
- выпустить клиентские сертификаты: корневой и подчиненный.
Функционал позволяет выполнить вход в систему и ВМ/ФМ без ввода/передачи пользовательского пароля.
Настройка Space Dispatcher
Функционал рассчитан на то, что в процессе работы задействована служба активного каталога, поэтому для первичной настройки необходимо убедиться в её наличие в диспетчере.
Если служба активного каталога не используется (или существующая служба не поддерживается Space Disp), то рекомендуется добавить фиктивную службу каталогов с абстрактными данными.
Добавление службы активного каталога.
Для добавления фиктивной службы рекомендуется заполнить форму по аналогии с примером.
Примечание
Служба будет создана в статусе произошла ошибка, однако, на возможность входа по сертификату это не влияет.
Для добавления сертификата необходимо перейти во вкладку Сертификаты и нажать кнопку Добавить сертификат.
Далее в открывшемся окне заполнить поля:
-
Публичный ключ корневого сертификата.
Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).
-
Публичный ключ подчиненного сертификата.
Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).
-
Фильтр ключей по DC в Issuer сертификата.
Можно указать значение, которое будет использовано для фильтрации сертификатов на токене и сокращения списка сертификатов отображаемых пользователю.
Например, если указать в этом поле spacevm.ru, то в списке сертификатов на входе в Space Client будут отображаться только сертификаты, у которых в атрибуте Issuer указано это значение.
-
Список отзывов.
Можно внести содержимое файла CertificateRevocationList (CRL). Данное содержимое будет преобразовано и может быть использовано для преждевременного отзыва действующего сертификата пользователя.
Внимание
- Если для выдачи пользовательских сертификатов используется только корневой сертификат, то его значение необходимо внести в поле Публичный ключ подчиненного сертификата, а поле Публичный ключ корневого сертификата оставить пустым.
- Если в цепочке используется 2 и более сертификатов, то заполняются оба поля. Это будет использовано в проверке.
После заполнения полей подтвердить действия, нажав кнопку Добавить.
Дополнительная информация
-
Для принудительной блокировки входа по сертификату можно удалить службу каталогов или удалить сертификаты.
-
После первого успешного входа пользователя по сертификату SN-ключа, с которого выполнен вход, ключ будет сохранен и вход с другим ключом по этому же сертификату будет заблокирован.
-
Для активации возможности пользовательского входа с другим ключом необходимо перейти в раздел Пользователи, выбрать пользователя и нажать кнопку Сброс USB-токена.
Настройка устройства, с которого идет подключение
Для возможности входа в Space Disp на устройстве, с которого идет подключение, должно быть:
- установлено ПО Space Client версии 3.6.4 и выше;
- установлено ПО для работы с токенами, например, JC-WebClient;
- браузер на "движке" Chrome (Chromium, Google Chrome и т.п.).
Перед активацией режима входа по токену/сертификату необходимо:
- открыть настройки Space Client;
- перейти в раздел Настройки - Основные;
- включить опцию Вход по ключу.
Также для успешного подключения к ВМ должен быть настроен функционал проброса устройств.
Настройка устройства, к которому идет подключение (ВМ/ФМ)
Для настройки необходимо воспользоваться документацией производителя/поставщика крипто-устройства.
Дополнительная информация о JaCarta в AstraLinux.