2.5. Двухфакторная аутентификация

2.5.1. Изменение начальной аутентификационной информации Токена

Для изменения ПИН-кода токена необходимо выполнить следующие действия:

  1. Вставьте токен в компьютер или ноутбук.
  1. Запустите через меню «Пуск – Все программы – КРИПТО-ПРО утилиту КриптоПро CSP».
  2. Перейдите в раздел «Сервис» и выберите операцию «Изменить пароль».
  3. В открывшемся окне нажмите кнопку Обзор.
  4. Выберите любой контейнер, относящийся к считывателю Activ Rutoken, и нажмите кнопку ОК.
  5. Введите новый ПИН-код и подтверждение ПИН-кода в соответствующие поля.

Длина ПИН-кода должна быть не менее 6 символов.

ВАЖНО.

Будьте внимательны при вводе Пароля! Помните, что латинские и русские символы, а также заглавные и прописные буквы при вводе ПИН-кода различаются.

  1. Для подтверждения смены ПИН-кода нажмите кнопку ОК.

2.5.2. Создание самоподписанного сертификата

2.5.2.1. В ОС Windows

Для работы в ОС Windows необходимо установить ПК «Tionix – Сервер безопасности» на съемный носитель информации. Для этого используется программа Rufus версии 3.6.

Более подробно процесс установки описан в инструкции по установке программного обеспечения «Защита виртуальных рабочих столов ТИОНИКС» в п.3 «Процесс установки».

Далее для создания ключевой пары нужно открыть командную строку (сочетание клавиш Win+R) и выполнить следующие действия:

  1. Узнать название съемного носителя, отображаемое для списка

носителей и локальных хранилищ (считывателей), и использовать это имя в дальнейших командах.

Для этого набрать одну из следующих команд:

list_pcsc

или:

csptes.exe -card -enum –verbos

Сгенерировать самоподписанный сертификат и связанный с ним ключ.

Для этого ввести команду:

csptest.exe -keyset -newkeyset -provtype 81 -makecert -cont “\\.\<название съемного носителя>\default”

Экспортировать сертификат в файл командой:

certmgr.exe -export -cont “\\.\token\default” -at_signature -base64 -dest <названиефайлассертификатом>

Предположим, что название носителя было token, а название файла с сертификатом – name.crt. Тогда команда из второго и третьего пунктов должны выглядеть следующим образом:

csptest.exe -keyset -newkeyset -provtype 81 -makecert -cont “\\.\token\default”
certmgr.exe -export -cont “\\.\token\default” -at_signature -base64 -dest “name.crt”

2.5.2.2. В ОС Linux

В ОС Linux запись ПК «Tionix - Терминал» на съемный носитель производится командой:

sudo dd of=<носитель> if=Tionix VDIS Client.iso status=progress

Для того чтобы узнать, куда был смонтирован носитель, нужно выполнить команду:

lsblk

Подробнее об этом сказано в инструкции по установке программного обеспечения «Защита виртуальных рабочих столов ТИОНИКС» в п.3 «Процесс установки». Далее в терминале следует выполнить следующие действия:

Узнать название съемного носителя информации, отображаемое для списка носителей и локальных хранилищ (считывателей), и использовать это имя в дальнейших командах. Для этого в терминале нужно ввести команду:

/opt/cprocsp/bin/tvdisa/list_pcsc

На экране будет представлен текст вида:

«Aktiv Rutoken ECP (****) 00 00», где **** - цифры, соответствующие съемному носителю.

Создать ключевую пару и самоподписанный сертификат командой:

/opt/cprocsp/bin/tvdisa/csptestf -keyset -newkeyset -makecert -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test1'
/opt/cprocsp/bin/tvdisa/csptestf -keyset -newkeyset -provtype 81 -makecert -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test3'

Экспортировать сгенерированный сертификат:

/opt/cprocsp/bin/tvdisa/certmgr -export -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test1' -at_signature -base64 -dest certTest1
cat certTest | tr -d '\040\011\012\015'

2.5.3. Добавление сертификата

После экспорта сгенерированного сертификата любым из вышеописанных способов требуется перейти во вкладку «Настройки сервера» и выбрать вариант «Использовать сертификат для аутентификации» (Рис. 2.29).

../_images/ADM_30.png

Рис. 2.29 Использование сертификата для аутентификации

После этого пользователю необходимо добавить соответствующий сертификат в кодировке base64. Для этого требуется выбрать пользователя во вкладке «пользователи», нажать на кнопку «+»(Рис. 2.30).

../_images/ADM_31.png

Рис. 2.30 Добавление сертификата

После этого в появившемся окне выбрать файл сертификата, нажав на поле «Выбрать файл сертификата» или ввести текст сертификата в поле «Введите открытый сертификат», нажав на иконку справа от заголовка (Рис. 2.31), и нажать кнопку «Добавить».

../_images/ADM_32.png

Рис. 2.31 Ввод текста сертификата

2.5.4. Настройка VPN-доступа

Для того чтобы добавить VPN с конфигурацией в терминальную операционную систему требуется выбрать нужный профиль из контекстного меню (Рис. 2.32). В случае отсутствия файла конфигурации VPN будет доступен единственный вариант – «не использовать».

../_images/ADM_33.png

Рис. 2.32 Добавление профиля VPN

Для того чтобы установить VPN-доступ необходимо использовать два файла:

  • файл в формате *.ovpn, в строке „auth-user-pass“ которого находится название файла auth.txt;
  • файл текстового формата auth.txt, содержащий только две строки: логин и пароль.

Оба файла должны находиться в одной директории - это обеспечит автоматическую вставку учетных данных при запросе.

Если имеется несколько файлов конфигурации VPN, то они обязаны иметь разные имена. Также необходимо прописать их названия в строку „auth-user-pass“ файла *.ovpn. Тогда при входе через профиль VPN с одним из файлов конфигурации, но под другой учетной записью, требуется переименовать предыдущий файл и создать новый текстовый документ с новыми учетными данными.

В целях сокрытия логина и пароля строка „auth-user-pass“ в файле с разрешением *.ovpn может полностью отсутствовать. В этом случае запрос логина и пароля будет происходить каждый раз при входе в систему.

После записи на съемный носитель в директорию /tionix/vpn необходимо добавить папку с файлами auth.txt и *.ovpn. В ОС Windows это можно сделать вручную, а в ОС Linux командой:

mv<файл><папка>