Вопрос дружбы некопируемых Rutoken
Вопрос дружбы некопируемых Rutoken
В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
Re: Вопрос дружбы некопируемых Rutoken
Пока писал, нашел игрушку вот такую http://distkontrol.ru/index.php/usboverip161 , но опять же, не понятно пока, как ее к WTWare подружить.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.
Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.
PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.
PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
Re: Вопрос дружбы некопируемых Rutoken
Эти токены таки можно копировать, погуглите.Temcher писал(а): ↑Пн апр 18, 2022 6:08 pm В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Нет. Эти токены нужно дружить именно с втварью! Тогда они (токенты) будут проброшены в терминальник как смарткарты и будут видны там криптопровайдеру! Если клиента (того же Virtualhere) ставить на терминал и подключать USB устройство из сессии (RDP) на терминале, то увы, они видны не будутaka писал(а): ↑Пн апр 18, 2022 11:16 pm Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.
Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.
PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
+1 к фиче, чтобы Virtualhere клиент (на самой wtware) имел бы возможность подключать удаленный USB токен. Сейчас это так же можно реализовать (через костыли), но остается вопрос как эти ключи отключать (у пользователя нет такой возможности)
Было бы мега круто, чтобы пользователи имели возможность и подключать, и отключать USB устройства с удаленного VirtualHere сервера (например доп меню по аналогии с переключением мониторов в правом нижнем углу), тем более, что VirtualHere клиент не требует доп лицензирования (не требуется лицензии для подключения устройств)
Даже готовы в некоторой степени продонатить реализацию этой функции
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Я честно перечитал три раза и ничего не понял.
От втвари что требуется?
От втвари что требуется?
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Изображу схематично, как не работает (проброс токенов на сервер терминалов)
|||||| RDP |||| TCP/IP
wtware ---> TS <-------- VirtualHere Server
||||||||||||||USB port||||||||||||||
Теперь как работает (будет работать при реализации)
|||||||||||||||||TCP/IP |||||||||RDP
VirtualHere Server ---------> wtware -------> TS
|||||||||||||||||USB port|||||||SmartCard
От Wtware требуется:
1) иметь возможность загрузить VirtualHere клиент
2) в конфиге иметь возможность указать адрес сервера Vritualhere (IP) и ID (или адрес) USB порта на Virtualhere сервере (или несколько таких комбинаций)
3) в GUI реализовать возможность как подключения удаленного USB порта, так и отключения (например как реализовано переключение между виртуальными экранами - появляется всплывающая форма и там список IP:адрес из п.2 USB портов для подключения/отключения )
Те. пользователь подключает удаленное USB устройство (с помощью Virualhere клиента) к самой втвари, которое пробрасывается на сервер терминалов уже внутри RDP. Для токенов этот проброс будет - пробросом смарткарты (как будто кто-то включил токен в саму втварь) и криптопровайдер на стороне терминального сервера это увидит
Главная часть реализации - это поддержка подключения удаленного USB через GUI втвари (и не только подключение, но и ОТКЛЮЧЕНИЕ USB устройства)
P.S. если говорить, о безопасности выставления в сеть сервера с USB ключами, то варианты решения:
а) Virtualhere имеет функционал авторизации и SSL
б) так как используется сеть, то доступна фильтрация на уровне L2/L3 через файрвол на сервере Virtualhere и/или маршрутизаторе
в) пинкоды для самих токенах
г) еще 4 комбинации сочетания пунктов а), б) и в)
Вот пример реализации GUI:
https://prnt.sc/33h7wsJAtQvd
|||||| RDP |||| TCP/IP
wtware ---> TS <-------- VirtualHere Server
||||||||||||||USB port||||||||||||||
Теперь как работает (будет работать при реализации)
|||||||||||||||||TCP/IP |||||||||RDP
VirtualHere Server ---------> wtware -------> TS
|||||||||||||||||USB port|||||||SmartCard
От Wtware требуется:
1) иметь возможность загрузить VirtualHere клиент
2) в конфиге иметь возможность указать адрес сервера Vritualhere (IP) и ID (или адрес) USB порта на Virtualhere сервере (или несколько таких комбинаций)
3) в GUI реализовать возможность как подключения удаленного USB порта, так и отключения (например как реализовано переключение между виртуальными экранами - появляется всплывающая форма и там список IP:адрес из п.2 USB портов для подключения/отключения )
Те. пользователь подключает удаленное USB устройство (с помощью Virualhere клиента) к самой втвари, которое пробрасывается на сервер терминалов уже внутри RDP. Для токенов этот проброс будет - пробросом смарткарты (как будто кто-то включил токен в саму втварь) и криптопровайдер на стороне терминального сервера это увидит
Главная часть реализации - это поддержка подключения удаленного USB через GUI втвари (и не только подключение, но и ОТКЛЮЧЕНИЕ USB устройства)
P.S. если говорить, о безопасности выставления в сеть сервера с USB ключами, то варианты решения:
а) Virtualhere имеет функционал авторизации и SSL
б) так как используется сеть, то доступна фильтрация на уровне L2/L3 через файрвол на сервере Virtualhere и/или маршрутизаторе
в) пинкоды для самих токенах
г) еще 4 комбинации сочетания пунктов а), б) и в)
Вот пример реализации GUI:
https://prnt.sc/33h7wsJAtQvd
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Кто такой "RDP VirtualHere Server " ?
Как управлять VirtualHere ? Сейчас VirtualHere это исполнимый файл, который не мы писали, и конфиг к нему. Мы просто запускаем исполинмый файл, и дальше он сам работает. Я не знаю никакого метода управления VirtualHere.
Как управлять VirtualHere ? Сейчас VirtualHere это исполнимый файл, который не мы писали, и конфиг к нему. Мы просто запускаем исполинмый файл, и дальше он сам работает. Я не знаю никакого метода управления VirtualHere.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Ты точно понимаешь, кто здесь server и кто client?
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Абсолютно. И очень удивляюсь, что идея вам непонятна
Еще раз
0) Предположим в сети есть отдельный сервер VirtualHere - его настройка нас не интересует. Нас интересует его IP и адрес/идентификатор USB порта, который мы будет подключать к втвари
1) Втварь загружает к себе КЛИЕНТА Virtualhere (можно использовать тот же механизм, что сейчас используется для загрузки сервера VirtualHere на втварь - в zip архив, загружаемы на втварь из параметра extra упаковать не только сервер VirtualHere, но и клиента или только клиента)
2) Втварь запускает клиента (например) в виде сервиса
3) Втварь через API КЛИЕНТА! ( описание его API: https://www.virtualhere.com/client_api ) подключает удаленное USB устройство с удаленного VirtualHere СЕРВЕРА (из пункта 0) к СЕБЕ!
4) Этот USB токен (удаленно подключенный с сервера VirtulaHere) будет проброшен на терминальный сервер внутри протокола RDP , как смарткарта
5) Профит
p.S как это может выглядень в GUI втвари я изобразил на картинке двумя постами ранее.
Дублирую ссылку на нее: https://prnt.sc/33h7wsJAtQvd
Последний раз редактировалось AndreyEver Вт июн 07, 2022 4:14 pm, всего редактировалось 1 раз.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
@aka
Вы же , надеюсь, в курсе, что в реализации терминального сервера от Майкрософт, есть неприятный нюанс, заключающийся в том, что если в сам терминальный сервер физически воткнуть USB токен (Rutoken непример) (или подключить Rutoken через VirtulaHere клиент, установленный на терминальном серевере), то в терминальных сессиях пользователей (подключенных по RDP) эти токены видны НЕ БУДУТ! От слова совсем и By Design)
И это известная фича/проблема
И сам майкрософт говорит, что USB токены должны подключаться (физически) к клиентским станциям и пробрасывать в сервер терминалов внутри RDP сессии, как смарт-карты!
Надеюсь теперь более понятно, почему я во всех своих постах пишу про VirtualHere клиента, который был бы установлен на втваре и подключал бы USB токен К втваре
Вы же , надеюсь, в курсе, что в реализации терминального сервера от Майкрософт, есть неприятный нюанс, заключающийся в том, что если в сам терминальный сервер физически воткнуть USB токен (Rutoken непример) (или подключить Rutoken через VirtulaHere клиент, установленный на терминальном серевере), то в терминальных сессиях пользователей (подключенных по RDP) эти токены видны НЕ БУДУТ! От слова совсем и By Design)
И это известная фича/проблема
И сам майкрософт говорит, что USB токены должны подключаться (физически) к клиентским станциям и пробрасывать в сервер терминалов внутри RDP сессии, как смарт-карты!
Надеюсь теперь более понятно, почему я во всех своих постах пишу про VirtualHere клиента, который был бы установлен на втваре и подключал бы USB токен К втваре
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Ааа, я понял.
Мой мозг категорически отказывался допускать мысль, что устройство можно перенаправить дважды.
Теоретически, оно да. Перенаправили USB на терминал, и дальше как бы локальный токен терминала перенаправили через RDP.
Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.
А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
Мой мозг категорически отказывался допускать мысль, что устройство можно перенаправить дважды.
Теоретически, оно да. Перенаправили USB на терминал, и дальше как бы локальный токен терминала перенаправили через RDP.
Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.
А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Это прекрасно работает с Windows и Linux клиентами (и с сервером Virtulahere в локальной сети, и ,даже, с удаленным и использованием SSL). Да, при доступе к токену возникает некоторая задержка (до 5-10 секунд), но это абсолютно некритично для операций подписи документов и/или входа на какой-нибудь гос порталaka писал(а): ↑Пт июн 10, 2022 11:30 am Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.
А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
Пользуемся этой связкой уже много лет и на многих местах держим полноценные ОС только из-за отсуствия данного функционала (клиента Virtualhere) в Wtware. С удовольствием переведем еще 100+ клиентов на Wtware, если/когда такая функция появится
Re: Вопрос дружбы некопируемых Rutoken
да, реквестирую.
в связи с тем что подписи теперь нужно делать почти каждому продавцу и все они на токенах.
в связи с тем что подписи теперь нужно делать почти каждому продавцу и все они на токенах.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Чтобы под втварью заработал клиент virtualhere, надо собирать ядро с usbip. Клиент на линуксе без usbip в ядре не запускается.
Еще раз: сервер VirtualHere на линуксе работает без usbip. Потому что работать на линуксе с физическим USB устройством можно, для этого не надо в ядро лезть, тупо берешь и читаешь/пишешь файл существующего устройства.
Клиент VirtualHere на линуксе работает через usbip. Потому что сочинить виртуальное новое USB устройство и отдать его ядру, не влезая в ядро, нельзя. Нужен какой-то костыль, usbip видимо был самым подходящим.
Если нам нужно пробросить токен откуда-то на втварь, может VirtualHere не нужен? Если всё равно трафик пойдёт через линуксвовое usbip. Может, правильнее отадвать токены с другого линукса через usbip и не притягивать VirtualHere?
Еще раз: сервер VirtualHere на линуксе работает без usbip. Потому что работать на линуксе с физическим USB устройством можно, для этого не надо в ядро лезть, тупо берешь и читаешь/пишешь файл существующего устройства.
Клиент VirtualHere на линуксе работает через usbip. Потому что сочинить виртуальное новое USB устройство и отдать его ядру, не влезая в ядро, нельзя. Нужен какой-то костыль, usbip видимо был самым подходящим.
Если нам нужно пробросить токен откуда-то на втварь, может VirtualHere не нужен? Если всё равно трафик пойдёт через линуксвовое usbip. Может, правильнее отадвать токены с другого линукса через usbip и не притягивать VirtualHere?
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
У меня не получается пользоваться клиентом VirtualHere бесплатно.
0. Поставить свежую втварь. Подней клиент VirtualHere может запуститься.
1. Скачать отсюда: http://wtware.com/files/virtualhere/ архив vhclient____.zip под нужную архитектуру. Не распаковывать, записать zip в "C:\Program Files (x86)\WTware\TFTPDROOT\Everyone\"
2. В конфиге терминала на выбор одну из этих строк, под нужную архитектуру:
или
или
3. Перезагружаем терминал. На другом компьютере, windows тоже подойдёт:
Вместо 10.1.1.210 IP-адрес терминала, которому в конфиге указали "extra="
Получается командная строка на терминале.
Из комнадной строки на терминале (вместо ./vhclientx86_64 набрать четыре символа ./vh и нажать Tab, оно само подставит нужное):
Вместо 10.1.1.124 IP-адрес сервера VirtualHere, который раздаёт устройство.
Получаем такое:
Оно видит ондно расшареное устрйоство. Пытаюсь его использовать:
Облом. В логе терминала:
Денег хочет. Даже за одно устройство.
Нашел на ru-board якобы вылеченные VirtualHere Server версии 4.3.3 и Client версии 5.2.3. Заменил И клиент, И сервер на файлы с ru-board. Запускаю - та же ошибка, хочет лицензию для работы в режиме сервиса.
0. Поставить свежую втварь. Подней клиент VirtualHere может запуститься.
1. Скачать отсюда: http://wtware.com/files/virtualhere/ архив vhclient____.zip под нужную архитектуру. Не распаковывать, записать zip в "C:\Program Files (x86)\WTware\TFTPDROOT\Everyone\"
2. В конфиге терминала на выбор одну из этих строк, под нужную архитектуру:
Код: Выделить всё
extra=telnetd,vhclientarmhf
Код: Выделить всё
extra=telnetd,vhclienti386
Код: Выделить всё
extra=telnetd,vhclientx86_64
Код: Выделить всё
telnet 10.1.1.210
Получается командная строка на терминале.
Из комнадной строки на терминале (вместо ./vhclientx86_64 набрать четыре символа ./vh и нажать Tab, оно само подставит нужное):
Код: Выделить всё
./vhclientx86_64 -t "MANUAL HUB ADD,10.1.1.124"
Получаем такое:
Код: Выделить всё
# ./vhclientx86_64 -t "list"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)
zpruef2 (zpruef2:7575)
--> Rutoken ECP (zpruef2.112)
Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
Код: Выделить всё
# ./vhclientx86_64 -t "use,zpruef2.112"
FAILED
Код: Выделить всё
VirtualHere Client: You need to purchase a license for your Server (10.1.1.124:7575) to enable access via a VirtualHere Client running as a service
Нашел на ru-board якобы вылеченные VirtualHere Server версии 4.3.3 и Client версии 5.2.3. Заменил И клиент, И сервер на файлы с ru-board. Запускаю - та же ошибка, хочет лицензию для работы в режиме сервиса.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Спасибо! Приступаем к тестированию
P.S. Да, в режиме работы клиента как сервиса VirtualHere сервер! требует лицензирования. Не вижу в этом никакой проблемы. Лицензия на сервер (клиент не требует лицензированиея, поэтому может быть использован в Wtware без ограничений
P.S.S. Готовы оплатить вам лицензию Virtualhere сервера для полноценного тестирования/реализации
P.S. Да, в режиме работы клиента как сервиса VirtualHere сервер! требует лицензирования. Не вижу в этом никакой проблемы. Лицензия на сервер (клиент не требует лицензированиея, поэтому может быть использован в Wtware без ограничений
P.S.S. Готовы оплатить вам лицензию Virtualhere сервера для полноценного тестирования/реализации
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Делаем все по мануалу - работает. Ключи видны, операции в банках бухалтеры совершают.
Использовать без элементов в GUI для подключения/отключения токенов практически невозможно (разные бухгалтеры используют одни и те же токены, а научить их пользоваться телнетом и вручную подключать/отключать токены задача утопичная ), но концепция проверена и работает!
Результат:
https://prnt.sc/YcZp1hJtkzt2
Использовать без элементов в GUI для подключения/отключения токенов практически невозможно (разные бухгалтеры используют одни и те же токены, а научить их пользоваться телнетом и вручную подключать/отключать токены задача утопичная ), но концепция проверена и работает!
Результат:
https://prnt.sc/YcZp1hJtkzt2
Код: Выделить всё
# ./vhclienti386 -t "MANUAL HUB ADD,10.38.0.245"
OK
# ./vhclienti386 -t "LIST"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)
Kabel-Group VirutalHere USB Server (vhui-srv:7575)
--> ╨Ъ╨╕╨╝╤А╤Г╤Б_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11212) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
--> ╨Ю╨б╨Ъ_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.1122)
--> ╨Ю╨б╨Ъ_╤Б╨░╨╜╨┐╨╕╤В (vhui-srv.1124) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
--> ╨н╤А╨╝╨░╤И_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11211)
Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
# ./vhclienti386 -t "USE,vhui-srv.1122"
OK
#
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Хорошо, переходим к следующему мануалу.
0. Поставить ... update: обычную втварь версии 6.0.86 иди новее.
1. и 2. как в предыдущем мануале.
3. Перезагружаем терминал. Открываем веб браузер, в браузере обращаемся к http://ip-терминала. Получаем веб-интерфейс терминала, в котором будет раздел "VirtualHere client command line". Там ещё будет квест с https и паролем, надо пройти.
4. Из веб-интерфейса с командной строки virtualhere те же команды:
Оно должно ответить в барузер "OK"
С лицензией у сервера оно мне ответило "OK", втварь в логе написала что видит токен.
Через веб-интерфейс подключение/отключение токенов можно сделать доступным для бухгалтера. В порядке эксперимента. Если поедет на живых людях, будем делать настоящий GUI. Гугл подскажет, где взять curl.exe для виндовса. На десктопе бухгалтеру положи скрипт с парой команд:
Бухгалтер кликает по скрипту - команды уходят терминалу - токен подключается. Адреса заменить, вместо 12345 пароль терминала.
Отключить всё:
Втварь не умеет больше одного токена одновременно.
0. Поставить ... update: обычную втварь версии 6.0.86 иди новее.
1. и 2. как в предыдущем мануале.
3. Перезагружаем терминал. Открываем веб браузер, в браузере обращаемся к http://ip-терминала. Получаем веб-интерфейс терминала, в котором будет раздел "VirtualHere client command line". Там ещё будет квест с https и паролем, надо пройти.
4. Из веб-интерфейса с командной строки virtualhere те же команды:
Код: Выделить всё
MANUAL HUB ADD,192.168.1.124
Код: Выделить всё
USE,c27.113
Через веб-интерфейс подключение/отключение токенов можно сделать доступным для бухгалтера. В порядке эксперимента. Если поедет на живых людях, будем делать настоящий GUI. Гугл подскажет, где взять curl.exe для виндовса. На десктопе бухгалтеру положи скрипт с парой команд:
Код: Выделить всё
curl.exe --insecure --user wtware:12345 --form "command=MANUAL HUB ADD,192.168.1.124" https://192.168.1.211/vhclient
curl.exe --insecure --user wtware:12345 --form "command=USE,c27.113" https://192.168.1.211/vhclient
Отключить всё:
Код: Выделить всё
curl.exe --insecure --user wtware:12345 --form "command=STOP USING ALL" https://192.168.1.211/vhclient
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Провели тестовый прогон у себя на стенде. Схема работает. Ключ подключился к Wtware и пробросился на терминал
Замечено:
- ругань в лог после команды STOP USING ALL (pcscd)
- обрывы соедниения после команды "USE,.... " с ошибкой "Подключение разорвано терминалом" в WTRC клиенте
(иногда обрывы и после "STOP USING ALL")
Замечено:
- ругань в лог после команды STOP USING ALL (pcscd)
- обрывы соедниения после команды "USE,.... " с ошибкой "Подключение разорвано терминалом" в WTRC клиенте
(иногда обрывы и после "STOP USING ALL")
Код: Выделить всё
[ KERNEL] [ 492.852115] usb 5-1: SetAddress Request (3) to port 0
[ KERNEL] [ 492.935192] usb 5-1: New USB device found, idVendor=24dc, idProduct=0101, bcdDevice=25.14
[ KERNEL] [ 492.935195] usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[ KERNEL] [ 492.935197] usb 5-1: Product: JaCarta
[ KERNEL] [ 492.935199] usb 5-1: Manufacturer: ARDS
[ KERNEL] [ 492.935200] usb 5-1: SerialNumber: 000000000000
[ gm] [ 523.056048] [WTRC] SSL_write for update failed: status -1 (0xffffffff), error 3 (0x00000003), errno 11. Disconnect from 10.254.0.121.
[ KERNEL] [ 526.690350] vhci_hcd: stop threads
[ KERNEL] [ 526.690352] vhci_hcd: release socket
[ KERNEL] [ 526.690355] vhci_hcd: disconnect device
[ KERNEL] [ 526.690385] usb 5-1: USB disconnect, device number 3
[ SYSLOG] [ 527.086367] <14>Sep 12 08:16:26 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[ SYSLOG] [ 527.086401] <14>Sep 12 08:16:26 pcscd: ifdwrapper.c:364:IFDStatusICC() Card not transacted: 617
[ SYSLOG] [ 528.086588] <14>Sep 12 08:16:27 pcscd: eventhandler.c:336:EHStatusHandlerThread() Error communicating to: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
[ SYSLOG] [ 528.086618] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:1343:InterruptRead() libusb_submit_transfer failed: LIBUSB_ERROR_NO_DEVICE
[ SYSLOG] [ 528.486808] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[ gm] [ 557.642209] [WTRC] Connection from 10.254.0.121.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
2 недели - полет номармальный. Кроме обозначенных выше ошибок, которые, вроде как, на процесс работы с токеном не влияют
Бухгалтер подключает токен, после работы отключает (правда не всегда, поэтому в первые дни были жалобы, что второй токен не подключатеся), платежки подписываются, банк операции проводит
Бухгалтер подключает токен, после работы отключает (правда не всегда, поэтому в первые дни были жалобы, что второй токен не подключатеся), платежки подписываются, банк операции проводит
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Попробуй:
http://wtware.com/testing/202210130006.zip
В конфиге:
Скачать у virtualhere клиента под нужную архитектуру и положить в каталог Everyone, если берём конфиги с TFTP. Или в каталог configs на локальном диске, если берём конфиги с локального диска теринала.
VirtualHere USB Console Client for Linux (amd64), UEFI:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientx86_64
VirtualHere USB Console Client for Linux (i386), Legacy BIOS:
https://www.virtualhere.com/sites/default/files/usbclient/vhclienti386
VirtualHere USB Console Client for Linux (armhf), Raspbery:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientarmhf
С клиентом ничего делать не надо. Только скачать файл и скопировать в Everyone или в configs.
Должно получиться вот так:
http://wtware.com/testing/202210130006.zip
В конфиге:
Код: Выделить всё
vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
VirtualHere USB Console Client for Linux (amd64), UEFI:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientx86_64
VirtualHere USB Console Client for Linux (i386), Legacy BIOS:
https://www.virtualhere.com/sites/default/files/usbclient/vhclienti386
VirtualHere USB Console Client for Linux (armhf), Raspbery:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientarmhf
С клиентом ничего делать не надо. Только скачать файл и скопировать в Everyone или в configs.
Должно получиться вот так:
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Добрый день.
При переходе на версию 6,0,87 (тестовую, как Я понимаю), всё прошло удачно.
Однако, при ручном добавлении хаба и ключа - всё норм. Видит, общается.
При добавлении в текст конфигурации кнопки "vhclient = hub:10.1.1.18:6565, device:USB2IP32-1-Gr-01.31412:Токен ЭДО" при проверке текста - сообщает, что конфигурационный файл несовместим с указанной версией WtWare.
Пожалуйста, подскажите куда копать, что делать и вообще...42...
Спасибо за внимание.
При переходе на версию 6,0,87 (тестовую, как Я понимаю), всё прошло удачно.
Однако, при ручном добавлении хаба и ключа - всё норм. Видит, общается.
При добавлении в текст конфигурации кнопки "vhclient = hub:10.1.1.18:6565, device:USB2IP32-1-Gr-01.31412:Токен ЭДО" при проверке текста - сообщает, что конфигурационный файл несовместим с указанной версией WtWare.
Пожалуйста, подскажите куда копать, что делать и вообще...42...
Спасибо за внимание.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
До начала тестирования сразу хочу попросить реализовать возможность выбора нескольких (хотя бы 2-ух, а в нашем случае 3-ех) токенов.aka писал(а): ↑Ср окт 12, 2022 10:07 pm Попробуй:
http://wtware.com/testing/202210130006.zip
В конфиге:
Код: Выделить всё
vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
2 бухгалтера (на которых проходит тестирование ) работают с 3-мя банками, те имеем 3 ключа в сервере Virtualhere. С текущей версией придется миксовать вариант с GUI и API
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Здравствуйте еще раз.
Методом долгих проб, тяжёлых ошибок, и длительного чтения есть кое-какая информация.
Проброс ключей через линукс клиента vhclient86_64, загруженного на тонкий клиент, работает в ручном режиме. Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту. В режиме свободного обращения - работает.
Следующее изыскание. На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда. Сохраняет, но не работает.
Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно. И тут больше вопрос, подскажите пожалуйста, через как сделать подключение одного ключа через .bat или каким бы то ни было другим способом. Вариант типа
@echo off
telnet***
./vhclient86_64 -t "manual hub add,***"
Не работает. Потому как после открытия telnet, cmd с этим окном не общается.
Как быть? Подскажите, пожалуйста.
Заранее спасибо за ответ.
Методом долгих проб, тяжёлых ошибок, и длительного чтения есть кое-какая информация.
Проброс ключей через линукс клиента vhclient86_64, загруженного на тонкий клиент, работает в ручном режиме. Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту. В режиме свободного обращения - работает.
Следующее изыскание. На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда. Сохраняет, но не работает.
Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно. И тут больше вопрос, подскажите пожалуйста, через как сделать подключение одного ключа через .bat или каким бы то ни было другим способом. Вариант типа
@echo off
telnet***
./vhclient86_64 -t "manual hub add,***"
Не работает. Потому как после открытия telnet, cmd с этим окном не общается.
Как быть? Подскажите, пожалуйста.
Заранее спасибо за ответ.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Не понимаю эту фразу. Можно больше скриншотов и логов?archangel7288 писал(а): ↑Пн окт 24, 2022 12:49 pm Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту.
И здесь тоже скриншоты необходимы. Кто стирает?archangel7288 писал(а): ↑Пн окт 24, 2022 12:49 pm На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
И здесь необходимы скриншоты и логи.archangel7288 писал(а): ↑Пн окт 24, 2022 12:49 pm При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда.
Не надо писать автоматизацию через телнет. Это для отладки было сделано, чтобы в ручном режиме видеть, что оно вообще работает и на что будет ругаться. Сделаем пользователю кнопочки, выше же картинка с кнопкой была.archangel7288 писал(а): ↑Пн окт 24, 2022 12:49 pm Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Попробуйте это: http://wtware.com/testing/202210250154.zip
Инструкция, что делать: https://forum.wtware.ru/viewtopic.php?f=35&t=32964
Пожалуйста, по результатам испытания пишите сюда, не засоряйте тему с инструкцией.
Инструкция, что делать: https://forum.wtware.ru/viewtopic.php?f=35&t=32964
Пожалуйста, по результатам испытания пишите сюда, не засоряйте тему с инструкцией.
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Добрый день.
Теперь кнопки появились, и всё работает.
Однако, преамбула: когда токен уже кем-то подключен, при нажатии на другом терминале на кнопку, происходит небольшое подвисание. Также вопрос, в штатном vhclient есть такая фишка, он пишет кем занят ключ. Чтобы можно было обратиться к человеку и попросить его отключить ключ. Вопрос: можно ли как-то реализовать подобную фичу (показывать кем занят ключ) там же около кнопки или в другом месте? Или проще (теоретически) использовать приложение (dkcl64), чтобы посмотреть?
Теперь кнопки появились, и всё работает.
Однако, преамбула: когда токен уже кем-то подключен, при нажатии на другом терминале на кнопку, происходит небольшое подвисание. Также вопрос, в штатном vhclient есть такая фишка, он пишет кем занят ключ. Чтобы можно было обратиться к человеку и попросить его отключить ключ. Вопрос: можно ли как-то реализовать подобную фичу (показывать кем занят ключ) там же около кнопки или в другом месте? Или проще (теоретически) использовать приложение (dkcl64), чтобы посмотреть?
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Еще один вопрос.
При написании в текст
При написании в текст
добавляю авторизацию для пользователей. Железо DistKontrolUSB это умеет. Пишу примерно так:vhclient = hub:192.168.1.123, device:c27.1111:Токен ЭДО, device:c27.1113:Токен банка
Так вот, что можно использовать как разделитель, чтобы меня понял wtware (между device: и :Токен ЭДО должно помещаться адрес самого ключа + авторизация), поскольку сейчас он разделители видит как-то по своему. Точнее как название кнопки, при этом удаляет вторую кнопку (что логично, поскольку нарушается синтаксис где-то).vhclient = hub:192.168.1.123, device:c27.1111,LOGIN/PASS:Токен ЭДО, device:c27.1113:Токен банка
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Оказывается, бумажки с паролями, наклеенные на на мониторах - это было вполне безопасно. Пароль мог увидеть только тот, кто мог зайти в помещение.
Теперь мы купим токен, крутейшее криптографическое изделие. Сгенерируем закрытый ключ в токене и сделаем его неизвлекаемым, чтобы гарантировать безопасность.
Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.
Фейспалм.
Теперь мы купим токен, крутейшее криптографическое изделие. Сгенерируем закрытый ключ в токене и сделаем его неизвлекаемым, чтобы гарантировать безопасность.
Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.
Фейспалм.
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Мда. Мысль была так себе.
Ну хорошо.
Реализация общения конечного клиента через тонкого с DistKontrolUSB возможна? Имею ввиду не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Еще один момент по поводу занятого ключа. Пользователям сложно объяснить кто такие эти 12 символов, что заняли токен. Как можно оповестить пользователя, что токен занят "такой-то" машиной? Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
Ну хорошо.
Реализация общения конечного клиента через тонкого с DistKontrolUSB возможна? Имею ввиду не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Еще один момент по поводу занятого ключа. Пользователям сложно объяснить кто такие эти 12 символов, что заняли токен. Как можно оповестить пользователя, что токен занят "такой-то" машиной? Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Сложно интерфейс рисовать. Подождём автора темы, может он что-нибудь придумает.archangel7288 писал(а): ↑Вт окт 25, 2022 1:42 pm ...не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
У DistKontrolUSB логин и пароль? У VirtualHere только пароль:
Код: Выделить всё
Use a device:
"USE,<address>[,password]"
Укажи терминалу вменяемый хостнейм вместо wtw**. Параметр конфига втвари clienthostname= , или через dhcp можно задать имя хоста.archangel7288 писал(а): ↑Вт окт 25, 2022 1:42 pm Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
Втварь в следующей версии будет писать, кто занял устройство, во всплывающем окошке вместо кнопки.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Вот это: http://wtware.com/testing/202210270013.zip
Напишет, кто занял устройство, вместо кнопки подключения.
Напишет, кто занял устройство, вместо кнопки подключения.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Если мне не изменяет память, то Virtualhere может принимать md5 хэш вместо пароля
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Безопасная передача пароля - это когда сервер присылает кучку рандома, клиент считает хэш этого рандома с паролем и возвращает серверу, сервер сравнивает. В этом случае нет смысла перехватывать хэш, идущий от клиента к серверу: в следующий раз, с другим рандомом, хэш будет другой.
А принимать одинаковую md5 мне кажется бестолку. Какая разница, списать из конфига пароль или md5 от пароля, если списаное можно использовать для подключения?
А принимать одинаковую md5 мне кажется бестолку. Какая разница, списать из конфига пароль или md5 от пароля, если списаное можно использовать для подключения?
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Добрый день.
Первое: Поддержка Rutoken S планируется? Потому как выбраны сейчас
Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти. Но тут уже как получится.)
4 видит. 5-й ни в какую.
Спасибо за внимание. Очень Ждём.
Первое: Поддержка Rutoken S планируется? Потому как выбраны сейчас
И проброс RuToken Lite происходит нормально, а RuToken S не видит система. (Конечная.)smartcard=jacarta, rutoken
Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти. Но тут уже как получится.)
4 видит. 5-й ни в какую.
Вместо * названия и ИНН. Что еще попробовать, чтобы он увидел 5-й токен? Или технически возможно пробросить только 4?vhclient = hub:10.72.1.18:6602, device:IP1-Gr-02.11311:******, hub:10.72.1.18:6604, device:IP1-Gr-04.31424:******************, device:IP1-Gr-04.11331:****, device:IP1-Gr-04.31411:**
Спасибо за внимание. Очень Ждём.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
2022.12.06: вернули поддержку Rutoken S в 6.0.94 версию.
Нет. Пинайте рутокенов, чтобы они сделали линуксовый драйвер для Rutoken S. Но они не будут, потому что Rutoken S уже много лет не производится.
16 одинаковых кнопок? Технически возможно, но ужасно же. Там сейчас 4 кнопки забиты, потому что лично я в четырёх уже путаюсьarchangel7288 писал(а): ↑Пн окт 31, 2022 9:34 am Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти.
Давайте вы подумаете и напишете ТЗ, что ещё добавить. С учётом того, что эта функциональность нужна трём человекам, и особо напрягаться ради неё мы не будем.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Тоже думаю над этим... Но элегантного решения во сне не приходит. Выпадающий список ?
Мысли в слух: для конфигуратора список с чекбоксами по запросу списка UBS устройств с сервера?
Вангую. С поголовным переходом в 2023 году на некопируемые токены от ФНС количество запросов на данную фичу вырастет кратно
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Вернули поддержку Rutoken S в 6.0.94 версию.
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Огромное спасибо. Это замечательная новость. Теперь мы зреем для оформления ТЗ, чтобы вообще было замечательно. Спасибо еще раз.
Re: Вопрос дружбы некопируемых Rutoken
Добрый день, форумчане! Есть какие-то подвижки во внедрении функционала?
Последний раз редактировалось severino Вт дек 13, 2022 4:12 pm, всего редактировалось 1 раз.
Re: Вопрос дружбы некопируемых Rutoken
Добрый день,
развернул новую тестовую версию для проверки работы проброса токенов в терминал.
Проверял на версиях 6.0.94 и 6.0.92.
Дополнительные vhclient модули подгружал.
При попытке ручного запуска в telnet-сессии получаю ошибку:
Код: Выделить всё
# ./vhclienti386 -t "manual hub add,192.х.х.х"
An existing client is not running. Start the client first so it can be connected to
Код: Выделить всё
[ SYSLOG] [ 138.617387] VirtualHere Client: VirtualHere Client 5.4.2 starting (Compiled: Dec 8 2022 09:17:52)
[ SYSLOG] [ 138.617788] VirtualHere Client: Client OS is
[ SYSLOG] [ 138.617856] VirtualHere Client: Using config at /.vhui
[ SYSLOG] [ 138.619006] 4 modprobe: vhci-hcd
[ SYSLOG] [ 138.619785] VirtualHere Client: Error preloading client driver,
[ pfac] [ 138.620255] Process pid 556 terminated, status 00000000.
Код: Выделить всё
# lsmod
Module Size Used by Not tainted
snd_usb_audio 200704 -
snd_usbmidi_lib 28672 -
snd_rawmidi 24576 -
snd_hwdep 16384 -
mc 28672 -
snd_hda_intel 28672 -
snd_intel_dspcfg 16384 -
snd_hda_codec_cmedia 16384 -
snd_hda_codec_realtek 110592 -
snd_hda_codec_hdmi 49152 -
snd_hda_codec_analog 16384 -
snd_hda_codec_via 20480 -
snd_hda_codec_generic 61440 -
snd_hda_codec 77824 -
snd_hda_core 49152 -
snd_pcm 73728 -
snd_timer 28672 -
snd 53248 -
soundcore 16384 -
usblp 20480 -
i915 1724416 -
ttm 45056 -
drm_kms_helper 167936 -
syscopyarea 16384 -
sysfillrect 16384 -
sysimgblt 16384 -
fb_sys_fops 16384 -
i2c_algo_bit 16384 -
cfbfillrect 16384 -
cfbimgblt 16384 -
cfbcopyarea 16384 -
drm 348160 -
drm_panel_orientation_quirks 24576 -
r8169 77824 -
#
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Если тебе нужен только проброс рутокена с терминала на сервер, то тебе не нужна эта тема. Удали из конфига всё лишнее, вообще всё. Половина проблем решается удалением из конфига лишних строк. Для проброса рутокена надо добавить только одну строку:
Код: Выделить всё
smartcard=rutoken
Re: Вопрос дружбы некопируемых Rutoken
Специально написал в эту ветку, потому что проблема аналогичная описанной.aka писал(а): ↑Вт дек 13, 2022 7:56 pmЕсли тебе нужен только проброс рутокена с терминала на сервер, то тебе не нужна эта тема. Удали из конфига всё лишнее, вообще всё. Половина проблем решается удалением из конфига лишних строк. Для проброса рутокена надо добавить только одну строку:Код: Выделить всё
smartcard=rutoken
Развернуто:
Есть distkontrol с токенами (рутокен). Есть терминальные клиенты wtware и терминальный сервер win2k12 r2.
Задача абсолютно та же. Подключение токена клиенту wtware и уже его проброс в терминальную среду.
Из этого и возник вопрос про vhclient.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
Должно работать. Запускай свежую официальную версию втвари. Инструкция в этом сообщении:
https://forum.wtware.ru/viewtopic.php?p=74951#p74951
Если не едет, покажи лог: http://wtware.ru/logs.html
https://forum.wtware.ru/viewtopic.php?p=74951#p74951
Если не едет, покажи лог: http://wtware.ru/logs.html
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Добрый день.
Запуск 6.0.94 произвёл. Есть пару вопросов.
Первый: на одном терминале пропал звук. С этим пока еще разбираюсь, вполне возможно, что и решится вопрос сам собой.
Второй: И более важный, как быть с тем, что Кнопки только 4? Уважаемые, подскажите, мне надо хотя бы 6 кнопок. У меня ключей у двоих по 6 штук. И никак не решить вопрос. Люди территориально далеко друг от друга, а отчётность сдавать надо разом и всем. Как можно вопрос урегулировать? Спасибо за внимание.
Запуск 6.0.94 произвёл. Есть пару вопросов.
Первый: на одном терминале пропал звук. С этим пока еще разбираюсь, вполне возможно, что и решится вопрос сам собой.
Второй: И более важный, как быть с тем, что Кнопки только 4? Уважаемые, подскажите, мне надо хотя бы 6 кнопок. У меня ключей у двоих по 6 штук. И никак не решить вопрос. Люди территориально далеко друг от друга, а отчётность сдавать надо разом и всем. Как можно вопрос урегулировать? Спасибо за внимание.
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
И еще раз добрый день.
Всё же проблема со звуком сохраняется и уже не на одном терминале а уже на двух.
Подскажите, что сделать, чтобы попытаться разобраться с ситуацией?
Что делал: Все прошивки установлены (firmware), Отключал стерео, Звук передаю на клиента, тест звука не даёт звука.
Не пытался оставлять звук на сервере. Не указывал напрямую id оборудования.
Жду соображений. Спасибо за внимание.
Всё же проблема со звуком сохраняется и уже не на одном терминале а уже на двух.
Подскажите, что сделать, чтобы попытаться разобраться с ситуацией?
Что делал: Все прошивки установлены (firmware), Отключал стерео, Звук передаю на клиента, тест звука не даёт звука.
Не пытался оставлять звук на сервере. Не указывал напрямую id оборудования.
Жду соображений. Спасибо за внимание.
-
- Сообщения: 63
- Зарегистрирован: Чт май 23, 2019 12:16 pm
Re: Вопрос дружбы некопируемых Rutoken
Не понимаю, зачем все усложнять?! Проще скопировать эти "некопируемые" ключи на терминалку, раздать права на доступ к ним.
1. Копируете ключи с помощью "Утилита проверки Рутокенов версии 3.4.2" , на любую флешку.
2. С помощью ImDisk Toolkit монтируете виртуальные флешки (для каждого ключа свой виртуальный диск), заливаете на них эти ключи. Скрываете отображение этих дисков в проводнике.
3. Раздаете права на диски.
4. Прописываете сертификаты.
Работы на 10 минут. Все прекрасно работает!
1. Копируете ключи с помощью "Утилита проверки Рутокенов версии 3.4.2" , на любую флешку.
2. С помощью ImDisk Toolkit монтируете виртуальные флешки (для каждого ключа свой виртуальный диск), заливаете на них эти ключи. Скрываете отображение этих дисков в проводнике.
3. Раздаете права на диски.
4. Прописываете сертификаты.
Работы на 10 минут. Все прекрасно работает!
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Вопрос стоял не "как скопировать не копируемый токен", а как обеспечить достаточно безопасный контролируемый доступ до токенов. Прошу Вас, не флудить, но если есть что-то сказать в контексте треда - готово выслушать.
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
В следующей версии будет 8 кнопок. Через день-два выйдет.archangel7288 писал(а): ↑Вт дек 20, 2022 2:05 pm Второй: И более важный, как быть с тем, что Кнопки только 4? Уважаемые, подскажите, мне надо хотя бы 6 кнопок. У меня ключей у двоих по 6 штук. И никак не решить вопрос. Люди территориально далеко друг от друга, а отчётность сдавать надо разом и всем. Как можно вопрос урегулировать?
1. Поставить свежую версию втвари. Свежая версия - та, которая лежит на http://wtware.ru прямо сейчас, а не позавчера.archangel7288 писал(а): ↑Чт дек 22, 2022 7:42 am И еще раз добрый день.
Всё же проблема со звуком сохраняется и уже не на одном терминале а уже на двух.
Подскажите, что сделать, чтобы попытаться разобраться с ситуацией?
2. Выполнить инструкцию про настройку звука: https://wtware.ru/docs5/sound.html
3. Если не поможет, прислать лог: http://wtware.ru/logs.html
Re: Вопрос дружбы некопируемых Rutoken
а можно подробней - читаю и не понимаю
с каких пор и как именно более ОДНОГО токена единовременно можно втыкать в 1 терминал?
всю дорогу же писало "я устал-я ухожу" - специально для особо ленивых и вредных бухгалтерш выдали usb хабы дорогие с кнопками включенья каждого порта с лампочками до кучи.
с каких пор и как именно более ОДНОГО токена единовременно можно втыкать в 1 терминал?
всю дорогу же писало "я устал-я ухожу" - специально для особо ленивых и вредных бухгалтерш выдали usb хабы дорогие с кнопками включенья каждого порта с лампочками до кучи.
-
- Сообщения: 17
- Зарегистрирован: Вт май 11, 2021 3:34 pm
Re: Вопрос дружбы некопируемых Rutoken
Подробнее - можно.
В терминал можно втыкать токенов так много, как позволяют свободные порты.
Тут никакого ограничения нет. Другой вопрос, что ДОСТУП к каждому токену в один момент может быть только у одного пользователя. Это продиктовано ограничениями в использовании USB протокола (написано выше).
И все эти токены могут работать ЕДИНОВРЕМЕННО. Но только с одним пользователем порта. (что также описано выше).
Возможно Вы что-то другое имели ввиду. Тогда, наверно, надо сформулировать так, чтобы можно было ответить на конкретный вопрос.
Спасибо за внимание.
В терминал можно втыкать токенов так много, как позволяют свободные порты.
Тут никакого ограничения нет. Другой вопрос, что ДОСТУП к каждому токену в один момент может быть только у одного пользователя. Это продиктовано ограничениями в использовании USB протокола (написано выше).
И все эти токены могут работать ЕДИНОВРЕМЕННО. Но только с одним пользователем порта. (что также описано выше).
Возможно Вы что-то другое имели ввиду. Тогда, наверно, надо сформулировать так, чтобы можно было ответить на конкретный вопрос.
Спасибо за внимание.
Re: Вопрос дружбы некопируемых Rutoken
т.е. имеется ввиду не средствами rdp а vhui чтоли?
ибо по определению за 1м терминалом 1 юзер одновременно. и неясно зачем все токены сувать в 1 терминал чтоб раздавать их РАЗНЫМ людям. и как люди на сервак конектятся? ибо если по rdp - то не даст юзать "физически в сервак" (что эмулирует vhui) вставленный токен
мой первый вопрос был в том - что штатно втварь по rdp токены мапит. но не более 1го за 1 раз (и скока хошь последовательно но по 1му)
ибо по определению за 1м терминалом 1 юзер одновременно. и неясно зачем все токены сувать в 1 терминал чтоб раздавать их РАЗНЫМ людям. и как люди на сервак конектятся? ибо если по rdp - то не даст юзать "физически в сервак" (что эмулирует vhui) вставленный токен
мой первый вопрос был в том - что штатно втварь по rdp токены мапит. но не более 1го за 1 раз (и скока хошь последовательно но по 1му)
-
- Разработчик
- Сообщения: 12025
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Вопрос дружбы некопируемых Rutoken
В сервер VirtualHere (любой выделенный компьютер с линуксом) вставляем много токенов. Сколько в нём есть портов. Лицензия VirtualHere продаётся на сервер без ограничения количества устройств.
В конфиг втвари в параметр vhclient= вписываем до восьми устройств из тех, что подключены к серверу VirtualHere. Получаем до восьми кнопок на экране втвари.
Нажимаем кнопку на экране втвари - один токен от сервера VirtualHere до терминала перенаправляется через VirtualHere, а от терминала до сервера RDP через RDP.
В конфиг втвари в параметр vhclient= вписываем до восьми устройств из тех, что подключены к серверу VirtualHere. Получаем до восьми кнопок на экране втвари.
Нажимаем кнопку на экране втвари - один токен от сервера VirtualHere до терминала перенаправляется через VirtualHere, а от терминала до сервера RDP через RDP.
Re: Вопрос дружбы некопируемых Rutoken
ясно. прошло мимо что втварь ещё и клиентом vhui может быть. а не сама как сервер.
-
- Сообщения: 52
- Зарегистрирован: Пт фев 11, 2022 3:40 pm
Re: Вопрос дружбы некопируемых Rutoken
Работаем на 6.0.94 уже почти два месяца. Все штатно