Вопрос дружбы некопируемых Rutoken

Ответить

Смайлики
:D :) :( :o :shock: :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen:

BBCode ОТКЛЮЧЕН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Развернуть Обзор темы: Вопрос дружбы некопируемых Rutoken

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пн фев 13, 2023 1:49 am

Работаем на 6.0.94 уже почти два месяца. Все штатно :D

Re: Вопрос дружбы некопируемых Rutoken

Rgpr » Ср дек 28, 2022 12:36 pm

ясно. прошло мимо что втварь ещё и клиентом vhui может быть. а не сама как сервер.

Re: Вопрос дружбы некопируемых Rutoken

aka » Ср дек 28, 2022 12:15 pm

В сервер VirtualHere (любой выделенный компьютер с линуксом) вставляем много токенов. Сколько в нём есть портов. Лицензия VirtualHere продаётся на сервер без ограничения количества устройств.

В конфиг втвари в параметр vhclient= вписываем до восьми устройств из тех, что подключены к серверу VirtualHere. Получаем до восьми кнопок на экране втвари.

Нажимаем кнопку на экране втвари - один токен от сервера VirtualHere до терминала перенаправляется через VirtualHere, а от терминала до сервера RDP через RDP.

Re: Вопрос дружбы некопируемых Rutoken

Rgpr » Ср дек 28, 2022 7:52 am

т.е. имеется ввиду не средствами rdp а vhui чтоли?

ибо по определению за 1м терминалом 1 юзер одновременно. и неясно зачем все токены сувать в 1 терминал чтоб раздавать их РАЗНЫМ людям. и как люди на сервак конектятся? ибо если по rdp - то не даст юзать "физически в сервак" (что эмулирует vhui) вставленный токен

мой первый вопрос был в том - что штатно втварь по rdp токены мапит. но не более 1го за 1 раз (и скока хошь последовательно но по 1му)

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Ср дек 28, 2022 6:18 am

Подробнее - можно.
В терминал можно втыкать токенов так много, как позволяют свободные порты.
Тут никакого ограничения нет. Другой вопрос, что ДОСТУП к каждому токену в один момент может быть только у одного пользователя. Это продиктовано ограничениями в использовании USB протокола (написано выше).
И все эти токены могут работать ЕДИНОВРЕМЕННО. Но только с одним пользователем порта. (что также описано выше).
Возможно Вы что-то другое имели ввиду. Тогда, наверно, надо сформулировать так, чтобы можно было ответить на конкретный вопрос.
Спасибо за внимание.

Re: Вопрос дружбы некопируемых Rutoken

Rgpr » Ср дек 28, 2022 3:59 am

а можно подробней - читаю и не понимаю

с каких пор и как именно более ОДНОГО токена единовременно можно втыкать в 1 терминал?

всю дорогу же писало "я устал-я ухожу" - специально для особо ленивых и вредных бухгалтерш выдали usb хабы дорогие с кнопками включенья каждого порта с лампочками до кучи.

Re: Вопрос дружбы некопируемых Rutoken

aka » Чт дек 22, 2022 6:46 pm

archangel7288 писал(а): Вт дек 20, 2022 2:05 pm Второй: И более важный, как быть с тем, что Кнопки только 4? Уважаемые, подскажите, мне надо хотя бы 6 кнопок. У меня ключей у двоих по 6 штук. И никак не решить вопрос. Люди территориально далеко друг от друга, а отчётность сдавать надо разом и всем. Как можно вопрос урегулировать?
В следующей версии будет 8 кнопок. Через день-два выйдет.
archangel7288 писал(а): Чт дек 22, 2022 7:42 am И еще раз добрый день.
Всё же проблема со звуком сохраняется и уже не на одном терминале а уже на двух.
Подскажите, что сделать, чтобы попытаться разобраться с ситуацией?
1. Поставить свежую версию втвари. Свежая версия - та, которая лежит на http://wtware.ru прямо сейчас, а не позавчера.

2. Выполнить инструкцию про настройку звука: https://wtware.ru/docs5/sound.html

3. Если не поможет, прислать лог: http://wtware.ru/logs.html

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Чт дек 22, 2022 12:27 pm

Вопрос стоял не "как скопировать не копируемый токен", а как обеспечить достаточно безопасный контролируемый доступ до токенов. Прошу Вас, не флудить, но если есть что-то сказать в контексте треда - готово выслушать.

Re: Вопрос дружбы некопируемых Rutoken

p.yakovlev » Чт дек 22, 2022 9:25 am

Не понимаю, зачем все усложнять?! Проще скопировать эти "некопируемые" ключи на терминалку, раздать права на доступ к ним.

1. Копируете ключи с помощью "Утилита проверки Рутокенов версии 3.4.2" , на любую флешку.
2. С помощью ImDisk Toolkit монтируете виртуальные флешки (для каждого ключа свой виртуальный диск), заливаете на них эти ключи. Скрываете отображение этих дисков в проводнике.
3. Раздаете права на диски.
4. Прописываете сертификаты.

Работы на 10 минут. Все прекрасно работает!

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Чт дек 22, 2022 7:42 am

И еще раз добрый день.
Всё же проблема со звуком сохраняется и уже не на одном терминале а уже на двух.
Подскажите, что сделать, чтобы попытаться разобраться с ситуацией?
Что делал: Все прошивки установлены (firmware), Отключал стерео, Звук передаю на клиента, тест звука не даёт звука.
Не пытался оставлять звук на сервере. Не указывал напрямую id оборудования.
Жду соображений. Спасибо за внимание.

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Вт дек 20, 2022 2:05 pm

Добрый день.
Запуск 6.0.94 произвёл. Есть пару вопросов.
Первый: на одном терминале пропал звук. С этим пока еще разбираюсь, вполне возможно, что и решится вопрос сам собой.
Второй: И более важный, как быть с тем, что Кнопки только 4? Уважаемые, подскажите, мне надо хотя бы 6 кнопок. У меня ключей у двоих по 6 штук. И никак не решить вопрос. Люди территориально далеко друг от друга, а отчётность сдавать надо разом и всем. Как можно вопрос урегулировать? Спасибо за внимание.

Re: Вопрос дружбы некопируемых Rutoken

aka » Ср дек 14, 2022 5:11 pm

Должно работать. Запускай свежую официальную версию втвари. Инструкция в этом сообщении:

https://forum.wtware.ru/viewtopic.php?p=74951#p74951

Если не едет, покажи лог: http://wtware.ru/logs.html

Re: Вопрос дружбы некопируемых Rutoken

severino » Ср дек 14, 2022 10:40 am

aka писал(а): Вт дек 13, 2022 7:56 pm
severino писал(а): Вт дек 13, 2022 4:10 pm развернул новую тестовую версию для проверки работы проброса токенов в терминал.
Если тебе нужен только проброс рутокена с терминала на сервер, то тебе не нужна эта тема. Удали из конфига всё лишнее, вообще всё. Половина проблем решается удалением из конфига лишних строк. Для проброса рутокена надо добавить только одну строку:

Код: Выделить всё

smartcard=rutoken
Специально написал в эту ветку, потому что проблема аналогичная описанной.
Развернуто:
Есть distkontrol с токенами (рутокен). Есть терминальные клиенты wtware и терминальный сервер win2k12 r2.
Задача абсолютно та же. Подключение токена клиенту wtware и уже его проброс в терминальную среду.
Из этого и возник вопрос про vhclient.

Re: Вопрос дружбы некопируемых Rutoken

aka » Вт дек 13, 2022 7:56 pm

severino писал(а): Вт дек 13, 2022 4:10 pm развернул новую тестовую версию для проверки работы проброса токенов в терминал.
Если тебе нужен только проброс рутокена с терминала на сервер, то тебе не нужна эта тема. Удали из конфига всё лишнее, вообще всё. Половина проблем решается удалением из конфига лишних строк. Для проброса рутокена надо добавить только одну строку:

Код: Выделить всё

smartcard=rutoken

Re: Вопрос дружбы некопируемых Rutoken

severino » Вт дек 13, 2022 4:10 pm

aka писал(а): Вт дек 06, 2022 12:23 am Вернули поддержку Rutoken S в 6.0.94 версию.
Добрый день,
развернул новую тестовую версию для проверки работы проброса токенов в терминал.
Проверял на версиях 6.0.94 и 6.0.92.
Дополнительные vhclient модули подгружал.
При попытке ручного запуска в telnet-сессии получаю ошибку:

Код: Выделить всё

# ./vhclienti386 -t "manual hub add,192.х.х.х"
An existing client is not running. Start the client first so it can be connected to
В логе при этом фиксирую:

Код: Выделить всё


[        SYSLOG] [  138.617387]  VirtualHere Client: VirtualHere Client 5.4.2 starting (Compiled: Dec  8 2022 09:17:52)

[        SYSLOG] [  138.617788]  VirtualHere Client: Client OS is 

[        SYSLOG] [  138.617856]  VirtualHere Client: Using config at /.vhui

[        SYSLOG] [  138.619006] 4 modprobe: vhci-hcd 
[        SYSLOG] [  138.619785]  VirtualHere Client: Error preloading client driver, 

[          pfac] [  138.620255] Process pid 556 terminated, status 00000000.
Вывод lsmod терминала при этом:

Код: Выделить всё

# lsmod
Module                  Size  Used by    Not tainted
snd_usb_audio         200704  -
snd_usbmidi_lib        28672  -
snd_rawmidi            24576  -
snd_hwdep              16384  -
mc                     28672  -
snd_hda_intel          28672  -
snd_intel_dspcfg       16384  -
snd_hda_codec_cmedia    16384  -
snd_hda_codec_realtek   110592  -
snd_hda_codec_hdmi     49152  -
snd_hda_codec_analog    16384  -
snd_hda_codec_via      20480  -
snd_hda_codec_generic    61440  -
snd_hda_codec          77824  -
snd_hda_core           49152  -
snd_pcm                73728  -
snd_timer              28672  -
snd                    53248  -
soundcore              16384  -
usblp                  20480  -
i915                 1724416  -
ttm                    45056  -
drm_kms_helper        167936  -
syscopyarea            16384  -
sysfillrect            16384  -
sysimgblt              16384  -
fb_sys_fops            16384  -
i2c_algo_bit           16384  -
cfbfillrect            16384  -
cfbimgblt              16384  -
cfbcopyarea            16384  -
drm                   348160  -
drm_panel_orientation_quirks    24576  -
r8169                  77824  -
#

Re: Вопрос дружбы некопируемых Rutoken

severino » Вт дек 13, 2022 3:51 pm

Добрый день, форумчане! Есть какие-то подвижки во внедрении функционала?

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Вт дек 06, 2022 7:42 am

Огромное спасибо. Это замечательная новость. Теперь мы зреем для оформления ТЗ, чтобы вообще было замечательно. Спасибо еще раз.

Re: Вопрос дружбы некопируемых Rutoken

aka » Вт дек 06, 2022 12:23 am

Вернули поддержку Rutoken S в 6.0.94 версию.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Вс ноя 20, 2022 9:43 pm

aka писал(а): Пн окт 31, 2022 6:53 pm Давайте вы подумаете и напишете ТЗ, что ещё добавить. ...
Тоже думаю над этим... Но элегантного решения во сне не приходит. Выпадающий список ?
Мысли в слух: для конфигуратора список с чекбоксами по запросу списка UBS устройств с сервера?
aka писал(а): Пн окт 31, 2022 6:53 pm .. С учётом того, что эта функциональность нужна трём человекам, и особо напрягаться ради неё мы не будем.
Вангую. С поголовным переходом в 2023 году на некопируемые токены от ФНС количество запросов на данную фичу вырастет кратно 8)

Re: Вопрос дружбы некопируемых Rutoken

aka » Пн окт 31, 2022 6:53 pm

archangel7288 писал(а): Пн окт 31, 2022 9:34 am Первое: Поддержка Rutoken S планируется?
2022.12.06: вернули поддержку Rutoken S в 6.0.94 версию.
Нет. Пинайте рутокенов, чтобы они сделали линуксовый драйвер для Rutoken S. Но они не будут, потому что Rutoken S уже много лет не производится.
archangel7288 писал(а): Пн окт 31, 2022 9:34 am Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти.
16 одинаковых кнопок? Технически возможно, но ужасно же. Там сейчас 4 кнопки забиты, потому что лично я в четырёх уже путаюсь :(

Давайте вы подумаете и напишете ТЗ, что ещё добавить. С учётом того, что эта функциональность нужна трём человекам, и особо напрягаться ради неё мы не будем.

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Пн окт 31, 2022 9:34 am

Добрый день.
Первое: Поддержка Rutoken S планируется? Потому как выбраны сейчас
smartcard=jacarta, rutoken
И проброс RuToken Lite происходит нормально, а RuToken S не видит система. (Конечная.)
Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти. Но тут уже как получится.)
4 видит. 5-й ни в какую.
vhclient = hub:10.72.1.18:6602, device:IP1-Gr-02.11311:******, hub:10.72.1.18:6604, device:IP1-Gr-04.31424:******************, device:IP1-Gr-04.11331:****, device:IP1-Gr-04.31411:**
Вместо * названия и ИНН. Что еще попробовать, чтобы он увидел 5-й токен? Или технически возможно пробросить только 4?
Спасибо за внимание. Очень Ждём.

Re: Вопрос дружбы некопируемых Rutoken

aka » Пт окт 28, 2022 7:15 pm

Безопасная передача пароля - это когда сервер присылает кучку рандома, клиент считает хэш этого рандома с паролем и возвращает серверу, сервер сравнивает. В этом случае нет смысла перехватывать хэш, идущий от клиента к серверу: в следующий раз, с другим рандомом, хэш будет другой.

А принимать одинаковую md5 мне кажется бестолку. Какая разница, списать из конфига пароль или md5 от пароля, если списаное можно использовать для подключения?

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пт окт 28, 2022 6:19 pm

aka писал(а): Вт окт 25, 2022 11:37 am
Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.

Фейспалм.
Если мне не изменяет память, то Virtualhere может принимать md5 хэш вместо пароля 8)

Re: Вопрос дружбы некопируемых Rutoken

aka » Чт окт 27, 2022 12:45 am

Вот это: http://wtware.com/testing/202210270013.zip

Напишет, кто занял устройство, вместо кнопки подключения.

Re: Вопрос дружбы некопируемых Rutoken

aka » Ср окт 26, 2022 12:43 am

archangel7288 писал(а): Вт окт 25, 2022 1:42 pm ...не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Сложно интерфейс рисовать. Подождём автора темы, может он что-нибудь придумает.

У DistKontrolUSB логин и пароль? У VirtualHere только пароль:

Код: Выделить всё

Use a device:
    "USE,<address>[,password]"
archangel7288 писал(а): Вт окт 25, 2022 1:42 pm Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
Укажи терминалу вменяемый хостнейм вместо wtw**. Параметр конфига втвари clienthostname= , или через dhcp можно задать имя хоста.

Втварь в следующей версии будет писать, кто занял устройство, во всплывающем окошке вместо кнопки.

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Вт окт 25, 2022 1:42 pm

Мда. Мысль была так себе.
Ну хорошо.
Реализация общения конечного клиента через тонкого с DistKontrolUSB возможна? Имею ввиду не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Еще один момент по поводу занятого ключа. Пользователям сложно объяснить кто такие эти 12 символов, что заняли токен. Как можно оповестить пользователя, что токен занят "такой-то" машиной? Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???

Re: Вопрос дружбы некопируемых Rutoken

aka » Вт окт 25, 2022 11:37 am

Оказывается, бумажки с паролями, наклеенные на на мониторах - это было вполне безопасно. Пароль мог увидеть только тот, кто мог зайти в помещение.

Теперь мы купим токен, крутейшее криптографическое изделие. Сгенерируем закрытый ключ в токене и сделаем его неизвлекаемым, чтобы гарантировать безопасность.

Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.

Фейспалм.

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Вт окт 25, 2022 10:04 am

Еще один вопрос.
При написании в текст
vhclient = hub:192.168.1.123, device:c27.1111:Токен ЭДО, device:c27.1113:Токен банка
добавляю авторизацию для пользователей. Железо DistKontrolUSB это умеет. Пишу примерно так:
vhclient = hub:192.168.1.123, device:c27.1111,LOGIN/PASS:Токен ЭДО, device:c27.1113:Токен банка
Так вот, что можно использовать как разделитель, чтобы меня понял wtware (между device: и :Токен ЭДО должно помещаться адрес самого ключа + авторизация), поскольку сейчас он разделители видит как-то по своему. Точнее как название кнопки, при этом удаляет вторую кнопку (что логично, поскольку нарушается синтаксис где-то).

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Вт окт 25, 2022 9:15 am

Добрый день.
Теперь кнопки появились, и всё работает.
Однако, преамбула: когда токен уже кем-то подключен, при нажатии на другом терминале на кнопку, происходит небольшое подвисание. Также вопрос, в штатном vhclient есть такая фишка, он пишет кем занят ключ. Чтобы можно было обратиться к человеку и попросить его отключить ключ. Вопрос: можно ли как-то реализовать подобную фичу (показывать кем занят ключ) там же около кнопки или в другом месте? Или проще (теоретически) использовать приложение (dkcl64), чтобы посмотреть?

Re: Вопрос дружбы некопируемых Rutoken

aka » Вт окт 25, 2022 1:57 am

Попробуйте это: http://wtware.com/testing/202210250154.zip

Инструкция, что делать: https://forum.wtware.ru/viewtopic.php?f=35&t=32964

Пожалуйста, по результатам испытания пишите сюда, не засоряйте тему с инструкцией.

Re: Вопрос дружбы некопируемых Rutoken

aka » Пн окт 24, 2022 3:57 pm

archangel7288 писал(а): Пн окт 24, 2022 12:49 pm Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту.
Не понимаю эту фразу. Можно больше скриншотов и логов?
archangel7288 писал(а): Пн окт 24, 2022 12:49 pm На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
И здесь тоже скриншоты необходимы. Кто стирает?
archangel7288 писал(а): Пн окт 24, 2022 12:49 pm При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда.
И здесь необходимы скриншоты и логи.
archangel7288 писал(а): Пн окт 24, 2022 12:49 pm Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно.
Не надо писать автоматизацию через телнет. Это для отладки было сделано, чтобы в ручном режиме видеть, что оно вообще работает и на что будет ругаться. Сделаем пользователю кнопочки, выше же картинка с кнопкой была.

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Пн окт 24, 2022 12:49 pm

Здравствуйте еще раз.
Методом долгих проб, тяжёлых ошибок, и длительного чтения есть кое-какая информация.
Проброс ключей через линукс клиента vhclient86_64, загруженного на тонкий клиент, работает в ручном режиме. Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту. В режиме свободного обращения - работает.
Следующее изыскание. На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда. Сохраняет, но не работает.
Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно. И тут больше вопрос, подскажите пожалуйста, через как сделать подключение одного ключа через .bat или каким бы то ни было другим способом. Вариант типа
@echo off
telnet***
./vhclient86_64 -t "manual hub add,***"
Не работает. Потому как после открытия telnet, cmd с этим окном не общается.
Как быть? Подскажите, пожалуйста.
Заранее спасибо за ответ.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пт окт 21, 2022 10:55 am

aka писал(а): Ср окт 12, 2022 10:07 pm Попробуй:

http://wtware.com/testing/202210130006.zip

В конфиге:

Код: Выделить всё

vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
До начала тестирования сразу хочу попросить реализовать возможность выбора нескольких (хотя бы 2-ух, а в нашем случае 3-ех) токенов.
2 бухгалтера (на которых проходит тестирование 8) ) работают с 3-мя банками, те имеем 3 ключа в сервере Virtualhere. С текущей версией придется миксовать вариант с GUI и API :?

Re: Вопрос дружбы некопируемых Rutoken

archangel7288 » Пт окт 21, 2022 8:44 am

Добрый день.
При переходе на версию 6,0,87 (тестовую, как Я понимаю), всё прошло удачно.
Однако, при ручном добавлении хаба и ключа - всё норм. Видит, общается.
При добавлении в текст конфигурации кнопки "vhclient = hub:10.1.1.18:6565, device:USB2IP32-1-Gr-01.31412:Токен ЭДО" при проверке текста - сообщает, что конфигурационный файл несовместим с указанной версией WtWare.
Пожалуйста, подскажите куда копать, что делать и вообще...42...
Спасибо за внимание.

Re: Вопрос дружбы некопируемых Rutoken

aka » Ср окт 12, 2022 10:07 pm

Попробуй:

http://wtware.com/testing/202210130006.zip

В конфиге:

Код: Выделить всё

vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
Скачать у virtualhere клиента под нужную архитектуру и положить в каталог Everyone, если берём конфиги с TFTP. Или в каталог configs на локальном диске, если берём конфиги с локального диска теринала.

VirtualHere USB Console Client for Linux (amd64), UEFI:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientx86_64

VirtualHere USB Console Client for Linux (i386), Legacy BIOS:
https://www.virtualhere.com/sites/default/files/usbclient/vhclienti386

VirtualHere USB Console Client for Linux (armhf), Raspbery:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientarmhf

С клиентом ничего делать не надо. Только скачать файл и скопировать в Everyone или в configs.

Должно получиться вот так:
Untitled.png
Untitled.png (3.96 КБ) 58060 просмотров

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пн сен 26, 2022 10:53 am

2 недели - полет номармальный. Кроме обозначенных выше ошибок, которые, вроде как, на процесс работы с токеном не влияют :?
Бухгалтер подключает токен, после работы отключает (правда не всегда, поэтому в первые дни были жалобы, что второй токен не подключатеся), платежки подписываются, банк операции проводит :!:

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пн сен 12, 2022 11:22 am

Провели тестовый прогон у себя на стенде. Схема работает. Ключ подключился к Wtware и пробросился на терминал

Замечено:
- ругань в лог после команды STOP USING ALL (pcscd)
- обрывы соедниения после команды "USE,.... " с ошибкой "Подключение разорвано терминалом" в WTRC клиенте
(иногда обрывы и после "STOP USING ALL")

Код: Выделить всё

[        KERNEL] [  492.852115] usb 5-1: SetAddress Request (3) to port 0
[        KERNEL] [  492.935192] usb 5-1: New USB device found, idVendor=24dc, idProduct=0101, bcdDevice=25.14
[        KERNEL] [  492.935195] usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[        KERNEL] [  492.935197] usb 5-1: Product: JaCarta
[        KERNEL] [  492.935199] usb 5-1: Manufacturer: ARDS
[        KERNEL] [  492.935200] usb 5-1: SerialNumber: 000000000000
[            gm] [  523.056048] [WTRC] SSL_write for update failed: status -1 (0xffffffff), error 3 (0x00000003), errno 11. Disconnect from 10.254.0.121.
[        KERNEL] [  526.690350] vhci_hcd: stop threads
[        KERNEL] [  526.690352] vhci_hcd: release socket
[        KERNEL] [  526.690355] vhci_hcd: disconnect device
[        KERNEL] [  526.690385] usb 5-1: USB disconnect, device number 3
[        SYSLOG] [  527.086367] <14>Sep 12 08:16:26 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[        SYSLOG] [  527.086401] <14>Sep 12 08:16:26 pcscd: ifdwrapper.c:364:IFDStatusICC() Card not transacted: 617
[        SYSLOG] [  528.086588] <14>Sep 12 08:16:27 pcscd: eventhandler.c:336:EHStatusHandlerThread() Error communicating to: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
[        SYSLOG] [  528.086618] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:1343:InterruptRead() libusb_submit_transfer failed: LIBUSB_ERROR_NO_DEVICE
[        SYSLOG] [  528.486808] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[            gm] [  557.642209] [WTRC] Connection from 10.254.0.121.

Re: Вопрос дружбы некопируемых Rutoken

aka » Сб сен 10, 2022 12:39 pm

Хорошо, переходим к следующему мануалу.

0. Поставить ... update: обычную втварь версии 6.0.86 иди новее.

1. и 2. как в предыдущем мануале.

3. Перезагружаем терминал. Открываем веб браузер, в браузере обращаемся к http://ip-терминала. Получаем веб-интерфейс терминала, в котором будет раздел "VirtualHere client command line". Там ещё будет квест с https и паролем, надо пройти.

4. Из веб-интерфейса с командной строки virtualhere те же команды:

Код: Выделить всё

MANUAL HUB ADD,192.168.1.124
Оно должно ответить в барузер "OK"

Код: Выделить всё

USE,c27.113
С лицензией у сервера оно мне ответило "OK", втварь в логе написала что видит токен.

Через веб-интерфейс подключение/отключение токенов можно сделать доступным для бухгалтера. В порядке эксперимента. Если поедет на живых людях, будем делать настоящий GUI. Гугл подскажет, где взять curl.exe для виндовса. На десктопе бухгалтеру положи скрипт с парой команд:

Код: Выделить всё

curl.exe --insecure --user wtware:12345 --form "command=MANUAL HUB ADD,192.168.1.124" https://192.168.1.211/vhclient
curl.exe --insecure --user wtware:12345 --form "command=USE,c27.113" https://192.168.1.211/vhclient
Бухгалтер кликает по скрипту - команды уходят терминалу - токен подключается. Адреса заменить, вместо 12345 пароль терминала.

Отключить всё:

Код: Выделить всё

curl.exe --insecure --user wtware:12345 --form "command=STOP USING ALL" https://192.168.1.211/vhclient
Втварь не умеет больше одного токена одновременно.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Ср сен 07, 2022 3:34 pm

Делаем все по мануалу - работает. Ключи видны, операции в банках бухалтеры совершают.

Использовать без элементов в GUI для подключения/отключения токенов практически невозможно (разные бухгалтеры используют одни и те же токены, а научить их пользоваться телнетом и вручную подключать/отключать токены задача утопичная :lol: ), но концепция проверена и работает! :!:

Результат:
https://prnt.sc/YcZp1hJtkzt2

Код: Выделить всё

# ./vhclienti386 -t "MANUAL HUB ADD,10.38.0.245"
OK
# ./vhclienti386 -t "LIST"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)

Kabel-Group VirutalHere USB Server (vhui-srv:7575)
   --> ╨Ъ╨╕╨╝╤А╤Г╤Б_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11212) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
   --> ╨Ю╨б╨Ъ_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.1122)
   --> ╨Ю╨б╨Ъ_╤Б╨░╨╜╨┐╨╕╤В (vhui-srv.1124) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
   --> ╨н╤А╨╝╨░╤И_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11211)

Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
# ./vhclienti386 -t "USE,vhui-srv.1122"
OK
#

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Чт авг 11, 2022 11:07 am

Спасибо! Приступаем к тестированию

P.S. Да, в режиме работы клиента как сервиса VirtualHere сервер! требует лицензирования. Не вижу в этом никакой проблемы. Лицензия на сервер (клиент не требует лицензированиея, поэтому может быть использован в Wtware без ограничений

P.S.S. Готовы оплатить вам лицензию Virtualhere сервера для полноценного тестирования/реализации

Re: Вопрос дружбы некопируемых Rutoken

aka » Вс авг 07, 2022 10:23 am

У меня не получается пользоваться клиентом VirtualHere бесплатно.

0. Поставить свежую втварь. Подней клиент VirtualHere может запуститься.

1. Скачать отсюда: http://wtware.com/files/virtualhere/ архив vhclient____.zip под нужную архитектуру. Не распаковывать, записать zip в "C:\Program Files (x86)\WTware\TFTPDROOT\Everyone\"

2. В конфиге терминала на выбор одну из этих строк, под нужную архитектуру:

Код: Выделить всё

extra=telnetd,vhclientarmhf
или

Код: Выделить всё

extra=telnetd,vhclienti386
или

Код: Выделить всё

extra=telnetd,vhclientx86_64
3. Перезагружаем терминал. На другом компьютере, windows тоже подойдёт:

Код: Выделить всё

telnet 10.1.1.210
Вместо 10.1.1.210 IP-адрес терминала, которому в конфиге указали "extra="

Получается командная строка на терминале.

Из комнадной строки на терминале (вместо ./vhclientx86_64 набрать четыре символа ./vh и нажать Tab, оно само подставит нужное):

Код: Выделить всё

./vhclientx86_64 -t "MANUAL HUB ADD,10.1.1.124"
Вместо 10.1.1.124 IP-адрес сервера VirtualHere, который раздаёт устройство.

Получаем такое:

Код: Выделить всё

# ./vhclientx86_64 -t "list"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)

zpruef2 (zpruef2:7575)
   --> Rutoken ECP (zpruef2.112)

Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
Оно видит ондно расшареное устрйоство. Пытаюсь его использовать:

Код: Выделить всё

# ./vhclientx86_64 -t "use,zpruef2.112"
FAILED
Облом. В логе терминала:

Код: Выделить всё

VirtualHere Client: You need to purchase a license for your Server (10.1.1.124:7575) to enable access via a VirtualHere Client running as a service
Денег хочет. Даже за одно устройство.

Нашел на ru-board якобы вылеченные VirtualHere Server версии 4.3.3 и Client версии 5.2.3. Заменил И клиент, И сервер на файлы с ru-board. Запускаю - та же ошибка, хочет лицензию для работы в режиме сервиса.

Re: Вопрос дружбы некопируемых Rutoken

aka » Вс июл 31, 2022 10:32 am

Чтобы под втварью заработал клиент virtualhere, надо собирать ядро с usbip. Клиент на линуксе без usbip в ядре не запускается.

Еще раз: сервер VirtualHere на линуксе работает без usbip. Потому что работать на линуксе с физическим USB устройством можно, для этого не надо в ядро лезть, тупо берешь и читаешь/пишешь файл существующего устройства.

Клиент VirtualHere на линуксе работает через usbip. Потому что сочинить виртуальное новое USB устройство и отдать его ядру, не влезая в ядро, нельзя. Нужен какой-то костыль, usbip видимо был самым подходящим.

Если нам нужно пробросить токен откуда-то на втварь, может VirtualHere не нужен? Если всё равно трафик пойдёт через линуксвовое usbip. Может, правильнее отадвать токены с другого линукса через usbip и не притягивать VirtualHere?

Re: Вопрос дружбы некопируемых Rutoken

amxs3 » Пт июл 29, 2022 9:00 am

да, реквестирую.
в связи с тем что подписи теперь нужно делать почти каждому продавцу и все они на токенах.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пт июн 10, 2022 12:01 pm

aka писал(а): Пт июн 10, 2022 11:30 am Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.

А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
Это прекрасно работает с Windows и Linux клиентами (и с сервером Virtulahere в локальной сети, и ,даже, с удаленным и использованием SSL). Да, при доступе к токену возникает некоторая задержка (до 5-10 секунд), но это абсолютно некритично для операций подписи документов и/или входа на какой-нибудь гос портал

Пользуемся этой связкой уже много лет и на многих местах держим полноценные ОС только из-за отсуствия данного функционала (клиента Virtualhere) в Wtware. С удовольствием переведем еще 100+ клиентов на Wtware, если/когда такая функция появится

Re: Вопрос дружбы некопируемых Rutoken

aka » Пт июн 10, 2022 11:30 am

Ааа, я понял.

Мой мозг категорически отказывался допускать мысль, что устройство можно перенаправить дважды.

Теоретически, оно да. Перенаправили USB на терминал, и дальше как бы локальный токен терминала перенаправили через RDP.

Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.

А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Вт июн 07, 2022 2:46 pm

aka писал(а): Сб июн 04, 2022 7:33 pm Кто такой "RDP VirtualHere Server " ?
Где я использовал такую комбинацию*?

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Вт июн 07, 2022 2:43 pm

@aka

Вы же , надеюсь, в курсе, что в реализации терминального сервера от Майкрософт, есть неприятный нюанс, заключающийся в том, что если в сам терминальный сервер физически воткнуть USB токен (Rutoken непример) (или подключить Rutoken через VirtulaHere клиент, установленный на терминальном серевере), то в терминальных сессиях пользователей (подключенных по RDP) эти токены видны НЕ БУДУТ! От слова совсем и By Design)

И это известная фича/проблема
И сам майкрософт говорит, что USB токены должны подключаться (физически) к клиентским станциям и пробрасывать в сервер терминалов внутри RDP сессии, как смарт-карты!

Надеюсь теперь более понятно, почему я во всех своих постах пишу про VirtualHere клиента, который был бы установлен на втваре и подключал бы USB токен К втваре

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Вт июн 07, 2022 2:20 pm

aka писал(а): Пн июн 06, 2022 1:38 pm Ты точно понимаешь, кто здесь server и кто client?
Абсолютно. И очень удивляюсь, что идея вам непонятна :?

Еще раз

0) Предположим в сети есть отдельный сервер VirtualHere - его настройка нас не интересует. Нас интересует его IP и адрес/идентификатор USB порта, который мы будет подключать к втвари
1) Втварь загружает к себе КЛИЕНТА Virtualhere (можно использовать тот же механизм, что сейчас используется для загрузки сервера VirtualHere на втварь - в zip архив, загружаемы на втварь из параметра extra упаковать не только сервер VirtualHere, но и клиента или только клиента)
2) Втварь запускает клиента (например) в виде сервиса
3) Втварь через API КЛИЕНТА! ( описание его API: https://www.virtualhere.com/client_api ) подключает удаленное USB устройство с удаленного VirtualHere СЕРВЕРА (из пункта 0) к СЕБЕ!
4) Этот USB токен (удаленно подключенный с сервера VirtulaHere) будет проброшен на терминальный сервер внутри протокола RDP , как смарткарта
5) Профит

p.S как это может выглядень в GUI втвари я изобразил на картинке двумя постами ранее.
Дублирую ссылку на нее: https://prnt.sc/33h7wsJAtQvd

Re: Вопрос дружбы некопируемых Rutoken

aka » Пн июн 06, 2022 1:38 pm

Ты точно понимаешь, кто здесь server и кто client?

Re: Вопрос дружбы некопируемых Rutoken

aka » Сб июн 04, 2022 7:33 pm

Кто такой "RDP VirtualHere Server " ?

Как управлять VirtualHere ? Сейчас VirtualHere это исполнимый файл, который не мы писали, и конфиг к нему. Мы просто запускаем исполинмый файл, и дальше он сам работает. Я не знаю никакого метода управления VirtualHere.

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Пт июн 03, 2022 12:50 am

Изображу схематично, как не работает (проброс токенов на сервер терминалов)
|||||| RDP |||| TCP/IP
wtware ---> TS <-------- VirtualHere Server
||||||||||||||USB port||||||||||||||

Теперь как работает (будет работать при реализации)
|||||||||||||||||TCP/IP |||||||||RDP
VirtualHere Server ---------> wtware -------> TS
|||||||||||||||||USB port|||||||SmartCard

От Wtware требуется:
1) иметь возможность загрузить VirtualHere клиент
2) в конфиге иметь возможность указать адрес сервера Vritualhere (IP) и ID (или адрес) USB порта на Virtualhere сервере (или несколько таких комбинаций)
3) в GUI реализовать возможность как подключения удаленного USB порта, так и отключения (например как реализовано переключение между виртуальными экранами - появляется всплывающая форма и там список IP:адрес из п.2 USB портов для подключения/отключения )

Те. пользователь подключает удаленное USB устройство (с помощью Virualhere клиента) к самой втвари, которое пробрасывается на сервер терминалов уже внутри RDP. Для токенов этот проброс будет - пробросом смарткарты (как будто кто-то включил токен в саму втварь) и криптопровайдер на стороне терминального сервера это увидит

Главная часть реализации - это поддержка подключения удаленного USB через GUI втвари (и не только подключение, но и ОТКЛЮЧЕНИЕ USB устройства)

P.S. если говорить, о безопасности выставления в сеть сервера с USB ключами, то варианты решения:
а) Virtualhere имеет функционал авторизации и SSL
б) так как используется сеть, то доступна фильтрация на уровне L2/L3 через файрвол на сервере Virtualhere и/или маршрутизаторе
в) пинкоды для самих токенах
г) еще 4 комбинации сочетания пунктов а), б) и в)

Вот пример реализации GUI:
https://prnt.sc/33h7wsJAtQvd
Изображение

Re: Вопрос дружбы некопируемых Rutoken

aka » Чт июн 02, 2022 11:48 pm

Я честно перечитал три раза и ничего не понял.

От втвари что требуется?

Re: Вопрос дружбы некопируемых Rutoken

AndreyEver » Чт июн 02, 2022 4:10 pm

aka писал(а): Пн апр 18, 2022 11:16 pm Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.

Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.

PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
Нет. Эти токены нужно дружить именно с втварью! Тогда они (токенты) будут проброшены в терминальник как смарткарты и будут видны там криптопровайдеру! Если клиента (того же Virtualhere) ставить на терминал и подключать USB устройство из сессии (RDP) на терминале, то увы, они видны не будут

+1 к фиче, чтобы Virtualhere клиент (на самой wtware) имел бы возможность подключать удаленный USB токен. Сейчас это так же можно реализовать (через костыли), но остается вопрос как эти ключи отключать (у пользователя нет такой возможности)
Было бы мега круто, чтобы пользователи имели возможность и подключать, и отключать USB устройства с удаленного VirtualHere сервера (например доп меню по аналогии с переключением мониторов в правом нижнем углу), тем более, что VirtualHere клиент не требует доп лицензирования (не требуется лицензии для подключения устройств)

Даже готовы в некоторой степени продонатить реализацию этой функции 8)

Re: Вопрос дружбы некопируемых Rutoken

Bambor » Чт апр 21, 2022 3:52 pm

Temcher писал(а): Пн апр 18, 2022 6:08 pm В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
Эти токены таки можно копировать, погуглите.

Re: Вопрос дружбы некопируемых Rutoken

aka » Пн апр 18, 2022 11:16 pm

Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.

Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.

PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...

Re: Вопрос дружбы некопируемых Rutoken

Temcher » Пн апр 18, 2022 6:14 pm

Пока писал, нашел игрушку вот такую http://distkontrol.ru/index.php/usboverip161 , но опять же, не понятно пока, как ее к WTWare подружить.

Вопрос дружбы некопируемых Rutoken

Temcher » Пн апр 18, 2022 6:08 pm

В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!

Вернуться к началу