Pull to refresh

Comments 60

есть ли возможность использования токена если клиентская машина под Linux причем не факт, что x86?
Да, конечно. Все делается точно также. Только на клиентском месте следует использовать библиотеку PKCS#11 под linux соответствующей разрядности. Библиотеку можно скачать на странице www.rutoken.ru/hotline/download/nix/. Ну и не забыть установить нужное системное ПО:

sudo apt-get install libccid
sudo apt-get install libpcsclite1 pcscd
Внимание! Перед началом работы Рутокен ЭЦП следует отформатировать под виндой через Панель управления->Панель управления Рутокен


То есть совсем без винды завести не получится?
Вообще говоря, если вы купили Рутокен ЭЦП, то он уже нужным образом отформатирован. Вот если вы его форматировали, например, утилитами OpenSC и изменили формат, нужный библиотеке PKCS#11 Рутокен ЭЦП — в таком случае восстаносить нужное форматирование пока можно только виндой.
Можно ли с помощью этого ВПН передавать персональные данные?
Если вы собрались передавать персональные данные через OpenVPN, то OpenVPN должен шифровать канал с помощью сертифицированной реализации российских криптоалгоритмов. Наиболее простое решение по переползанию с обычного OpenVPN на OpenVPN с сертифицированными ГОСТами, это продукт МагПро OpenVPN-ГОСТ. По сути, это полный аналог OpenVPN, но в качестве криптографического «ярда» он использует СКЗИ МагПро КриптоПакет
Спасибо.
Правильно ли я понимаю, что этот GUI Вы тоже не учили выдавать ГОСТовые ключи и сертификаты? Или с этим вопросом лучше к разработчикам ГОСТового OpenVPN?
XCA? Он не умеет выдавать ГОСТовые сертификаты. Можно использовать для этой цели утилиту openssl из того же МагПро КриптоПакета
ну вы же для использования РуТокена качали особенную версию OpenVPN, с поддержкой интерфейса PKCS#11. А этот МагПро OpenVPN-ГОСТ умеет использовать эту библиотеку?
Насколько я знаю — да. Но сделано у них не через интерфейс PKCS#11, а через специальную библиотеку, сделанную по спецификации engine openssl.
Потерял Рутокен — запросил по почте запороленный PKCS#12-контейнер с ключом и сертификатом короткого срока действия (временный токен).
Делал тоже самое, только все исключительно «от и до» под linux, разве что с обычным Рутокеном. Для него не нужно ничего скачивать, все прекрасно работает с opensc-0.11.13 при помощи pkcs15-tool/init.
Вот только вводить пин от токена неудобно, когда запускается openvpn в виде демона…
В чем глубокий смысл запуска openvpn на клиенте в виде как демона?
да собственно такой же, как запускать демоном иксы или торрент клиент какой-нибудь — чтобы все это происходило автоматически при старте системы и без особого участия пользователя, т.к. все равно запускать их надо по умолчанию.
А как вы решили проблему ввода ПИН-кода? Или вы отказались от двухфактороной аутентификации (по токену и пину) и перешли к однофактороной (токену), прикопав пин в init скрипте?
в init скрипте пин нельзя прикопать, когда openvpn стартует как демон, его надо вводить, заходя по телнету на определенный порт в его cli.
Вы не находите этот способ немного геморройным?
настолько, насколько считаю запуск опенвпн в виде процесса вручную с последующим вводом пинкода.
забыл добавить: под рутом. Когда как пинкод можно ввести под любым пользователем в системе.
Но без шуток говоря, проблема запуска openvpn не из-под рута имеется
Можно ли использовать не «Рутокен ЭЦП», а простой Руктокен? У меня где-то завалялась пара таких, можно было бы применить :)
s/Руктокен/Рутокен/g
Да, можно. Только используйте библиотеку PKCS#11 из opensc-0.11.13.
Хороший пост.
Вот бы одмины моей конторы сделали через OpenVPN, а то из-за rdp с аццесом по eToken'у приходится запускать венду в виртуалке, ибо по-другому никак.
Попробуйте rdesktop (RDP-клиент под linux). К нему можно подцепить токен.
eToken цепряется, только вот rdesktop довольно глючный, и к именно рабочему RDP cерверу не коннектится. FreeRDP коннектится на ура, но не поддерживает авторизацию по eToken'у.
В чем именно проблема «глючности» rdesktopa?
Я его много где внедрял — особых проблем не было.
Не помню точно почему не хотел. Приду домой — попробую ещё раз.
для доступа к смарт-карте на машинке должен работать pcscd и уметь определять карту. Кроме того, сам rdesktop должен быть собран с ключом --enable-smartcard
pcscd установлен и работает, rdesktop собран с соответствующим ключом. Не коннектится именно rdesktop. Т.е. он (не помню точно) вроде пишет Connection Timeout, или что-то в этом роде. При этом FreeRDP соединяется на ура, но авторизоваться не получается, т.к. FreeRDP не поддерживает авторизацию по eToken'у.
а с Windows машинки коннектится?
можно посмотреть — видит ли карту pcscd
это можно сделать либо программкой pcsc_scan из пакета pcsc-tools, либо запустив pcscd с флагом -afddd
Не суть в карте даже :) Даже если я не указываю --enable-smartcard, то rdesktop должен соединиться с RDP сервером, и предложить залогиниться под моими реквизитами. Как, например, это делает FreeRDP. Или я может быть чего-то не знаю о rdesktop'е? :)
это да.
Все флаги правильно указываете?
Насколько я помню — да. Пробовал несколько месяцев назад, сейчас смутно помню. Окажусь вечером дома — попробую ещё раз, освежу память. :)
ну вроде бы разницы между rdesktop и FreeRDP в этом плане быть не должно
Пытаюсь хоть как нибудь соединиться и в итоге:

└─[% >rdesktop 81.*.*.*:60000
Autoselected keyboard map en-us
ERROR: recv: Connection reset by peer


Сервер к которому подключаюсь доступен. FreeRDP спокойной подключается.
первое что приходит в голову, что у rdesktop какой то косяк с портами
на стандартные порты ведь коннектится…
UFO just landed and posted this here
Странно, но 2XClient тоже не хочет подключаться — dl.dropbox.com/u/585714/2X Client Session Error_001.png
Хоть подключен и через роутер — порты все открыты. Закинул пк с которого подключаюсь в DMZ — тоже самое.
UFO just landed and posted this here
UFO just landed and posted this here
Увы:

┌─[bosha@bosha-pc]──(/opt/2X/Client/bin)
└─[% >./appserverclient -m MX -u user -p pass -s *.*.*.*:60000
┌─[bosha@bosha-pc]──(/opt/2X/Client/bin)
└─[% >


Если пытаться соединится к другому моему ПК:

┌─[bosha@bosha-pc]──(/opt/2X/Client/bin)
└─[% >./appserverclient -m MS -u bosha -p password -s 192.168.1.2:3389

ERROR in CRdpConnector: FIXME: pduType 6 (pduType2 0) was not completely parsed

ERROR in CRdpParser: ParseShareControlHeader: received unsupported TS_PROTOCOL_VERSION 0x0


rdesktop к нему же цепляется на ура.
UFO just landed and posted this here
В общем-то даже если добавить ssl:// ситуацию это не меняет…
Freerdp уже поддерживает аутентификацию по смарткартам.
Как собирать и использовать, можно найти здесь: github.com/FreeRDP/FreeRDP/issues/107
Это отличная новость! Вечером попробую. Спасибо.
Это было почти. :) Почти заработало. Дальше буду уже прыгать от issue которое сделал на github :)
Ещё раз спасибо. :)
Есть еще одна идея. Запустить stunnel и настроить его таким образом, чтобы он принимал соединения на localhost и SSL-ил их на ваш виндовый RDP-сервер. При этом stunnel умеет работать с токенами.

Таким образом, rdesktop-ом вы будете ходить на localhost, а пробрасывать на сервер и авторизовывать вас на нем по токену будет stunnel.

Ну а потом по каналу уже будет бегать RDP-траффик. Я попробую у себя так сделать, если получится — напишу на хабр.
Будет просто отлично. Надеюсь получится :)
Sign up to leave a comment.