Перейти к содержанию

Сертификаты

Общее описание

Описанный ниже функционал подходит только для работы по протоколу GLINT.

Внимание

Функционал для входа в систему по протоколу GLINT с помощью сертификата является экспериментальным.

При возникновении ошибок рекомендуется обратиться к Авторизованному Центру Технической Поддержки производителя или ознакомиться с уже зарегистрированными запросами на платформе Space Bugzilla.

Центр предоставляет поддержку по вопросам установки, настройки и функционирования продуктов экосистемы Space.

Прежде чем приступать к настройкам необходимо:

  • настроить инфраструктуру предприятия;
  • выпустить клиентские сертификаты: корневой и подчиненный.

Функционал позволяет выполнить вход в систему и ВМ/ФМ без ввода/передачи пользовательского пароля.

Настройка Space Dispatcher

Функционал рассчитан на то, что в процессе работы задействована служба активного каталога, поэтому для первичной настройки необходимо убедиться в её наличие в диспетчере.

Если служба активного каталога не используется (или существующая служба не поддерживается Space Disp), то рекомендуется добавить фиктивную службу каталогов с абстрактными данными.

Добавление службы активного каталога.

Для добавления фиктивной службы рекомендуется заполнить форму по аналогии с примером.

Пример формы для службы каталогов

image

Примечание

Служба будет создана в статусе произошла ошибка, однако, на возможность входа по сертификату это не влияет.

Для добавления сертификата необходимо перейти во вкладку Сертификаты и нажать кнопку Добавить сертификат.

Добавление сертификата

image

Далее в открывшемся окне заполнить поля:

  • Публичный ключ корневого сертификата.

    Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).

  • Публичный ключ подчиненного сертификата.

    Необходимо внести содержимое сертификата, экспортированного в формате PEM (pem_x509).

  • Фильтр ключей по DC в Issuer сертификата.

    Можно указать значение, которое будет использовано для фильтрации сертификатов на токене и сокращения списка сертификатов отображаемых пользователю.

    Например, если указать в этом поле spacevm.ru, то в списке сертификатов на входе в Space Client будут отображаться только сертификаты, у которых в атрибуте Issuer указано это значение.

  • Список отзывов.

    Можно внести содержимое файла CertificateRevocationList (CRL). Данное содержимое будет преобразовано и может быть использовано для преждевременного отзыва действующего сертификата пользователя.

Форма добавления сертификата

image

Внимание

  1. Если для выдачи пользовательских сертификатов используется только корневой сертификат, то его значение необходимо внести в поле Публичный ключ подчиненного сертификата, а поле Публичный ключ корневого сертификата оставить пустым.
  2. Если в цепочке используется 2 и более сертификатов, то заполняются оба поля. Это будет использовано в проверке.

После заполнения полей подтвердить действия, нажав кнопку Добавить.

Дополнительная информация

  1. Для принудительной блокировки входа по сертификату можно удалить службу каталогов или удалить сертификаты.

  2. После первого успешного входа пользователя по сертификату SN-ключа, с которого выполнен вход, ключ будет сохранен и вход с другим ключом по этому же сертификату будет заблокирован.

  3. Для активации возможности пользовательского входа с другим ключом необходимо перейти в раздел Пользователи, выбрать пользователя и нажать кнопку Сброс USB-токена.

Настройка устройства, с которого идет подключение

Для возможности входа в Space Disp на устройстве, с которого идет подключение, должно быть:

  • установлено ПО Space Client версии 3.6.4 и выше;
  • установлено ПО для работы с токенами, например, JC-WebClient;
  • браузер на "движке" Chrome (Chromium, Google Chrome и т.п.).

Перед активацией режима входа по токену/сертификату необходимо:

  • открыть настройки Space Client;
  • перейти в раздел Настройки - Основные;
  • включить опцию Вход по ключу.
Настройки Space Client

image

Также для успешного подключения к ВМ должен быть настроен функционал проброса устройств.

Настройка устройства, к которому идет подключение (ВМ/ФМ)

Для настройки необходимо воспользоваться документацией производителя/поставщика крипто-устройства.

Пример настройки устройства

На хостовой ОС необходимо установить единый клиент JaCarta, доступный для загрузки по ссылке.

Если установка выполняется на ОС Astra Linux, потребуется загрузить соответствующий архив. Архив для ОС Astra Linux распаковывается с помощью команды:

unzip jacartauc_*.zip

Затем запускается установочный скрипт:

sudo bash install.sh

Вместе с клиентом JaCarta устанавливаются необходимые библиотеки для определения токена вендорским ПО на хостовой системе.

Также требуется установить последнюю версию SpaceClient. Установочный файл формата .deb должен быть предварительно загружен на флеш-накопитель. (Установочный файл SpaceClient формата .deb можно запросить через личный кабинет на портале ООО «ДАКОМ М»).

Установка осуществляется командой:

sudo apt install <путь_до_установочного_файла>/spaceclient.deb

Дополнительная информация о JaCarta в AstraLinux.