2.5. Двухфакторная аутентификация¶
2.5.1. Изменение начальной аутентификационной информации Токена¶
Для изменения ПИН-кода токена необходимо выполнить следующие действия:
- Вставьте токен в компьютер или ноутбук.
- Запустите через меню «Пуск – Все программы – КРИПТО-ПРО утилиту КриптоПро CSP».
- Перейдите в раздел «Сервис» и выберите операцию «Изменить пароль».
- В открывшемся окне нажмите кнопку Обзор.
- Выберите любой контейнер, относящийся к считывателю Activ Rutoken, и нажмите кнопку ОК.
- Введите новый ПИН-код и подтверждение ПИН-кода в соответствующие поля.
Длина ПИН-кода должна быть не менее 6 символов.
ВАЖНО.
Будьте внимательны при вводе Пароля! Помните, что латинские и русские символы, а также заглавные и прописные буквы при вводе ПИН-кода различаются.
- Для подтверждения смены ПИН-кода нажмите кнопку ОК.
2.5.2. Создание самоподписанного сертификата¶
2.5.2.1. В ОС Windows¶
Для работы в ОС Windows необходимо установить ПК «Tionix – Сервер безопасности» на съемный носитель информации. Для этого используется программа Rufus версии 3.6.
Более подробно процесс установки описан в инструкции по установке программного обеспечения «Защита виртуальных рабочих столов ТИОНИКС» в п.3 «Процесс установки».
Далее для создания ключевой пары нужно открыть командную строку (сочетание клавиш Win+R) и выполнить следующие действия:
- Узнать название съемного носителя, отображаемое для списка
носителей и локальных хранилищ (считывателей), и использовать это имя в дальнейших командах.
Для этого набрать одну из следующих команд:
list_pcsc
или:
csptes.exe -card -enum –verbos
Сгенерировать самоподписанный сертификат и связанный с ним ключ.
Для этого ввести команду:
csptest.exe -keyset -newkeyset -provtype 81 -makecert -cont “\\.\<название съемного носителя>\default”
Экспортировать сертификат в файл командой:
certmgr.exe -export -cont “\\.\token\default” -at_signature -base64 -dest <названиефайлассертификатом>
Предположим, что название носителя было token, а название файла с сертификатом – name.crt. Тогда команда из второго и третьего пунктов должны выглядеть следующим образом:
csptest.exe -keyset -newkeyset -provtype 81 -makecert -cont “\\.\token\default”
certmgr.exe -export -cont “\\.\token\default” -at_signature -base64 -dest “name.crt”
2.5.2.2. В ОС Linux¶
В ОС Linux запись ПК «Tionix - Терминал» на съемный носитель производится командой:
sudo dd of=<носитель> if=Tionix VDIS Client.iso status=progress
Для того чтобы узнать, куда был смонтирован носитель, нужно выполнить команду:
lsblk
Подробнее об этом сказано в инструкции по установке программного обеспечения «Защита виртуальных рабочих столов ТИОНИКС» в п.3 «Процесс установки». Далее в терминале следует выполнить следующие действия:
Узнать название съемного носителя информации, отображаемое для списка носителей и локальных хранилищ (считывателей), и использовать это имя в дальнейших командах. Для этого в терминале нужно ввести команду:
/opt/cprocsp/bin/tvdisa/list_pcsc
На экране будет представлен текст вида:
«Aktiv Rutoken ECP (****) 00 00», где **** - цифры, соответствующие съемному носителю.
Создать ключевую пару и самоподписанный сертификат командой:
/opt/cprocsp/bin/tvdisa/csptestf -keyset -newkeyset -makecert -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test1'
/opt/cprocsp/bin/tvdisa/csptestf -keyset -newkeyset -provtype 81 -makecert -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test3'
Экспортировать сгенерированный сертификат:
/opt/cprocsp/bin/tvdisa/certmgr -export -cont '\\.\Aktiv Rutoken ECP (****) 00 00\test1' -at_signature -base64 -dest certTest1
cat certTest | tr -d '\040\011\012\015'
2.5.3. Добавление сертификата¶
После экспорта сгенерированного сертификата любым из вышеописанных способов требуется перейти во вкладку «Настройки сервера» и выбрать вариант «Использовать сертификат для аутентификации» (Рис. 2.29).
После этого пользователю необходимо добавить соответствующий сертификат в кодировке base64. Для этого требуется выбрать пользователя во вкладке «пользователи», нажать на кнопку «+»(Рис. 2.30).
После этого в появившемся окне выбрать файл сертификата, нажав на поле «Выбрать файл сертификата» или ввести текст сертификата в поле «Введите открытый сертификат», нажав на иконку справа от заголовка (Рис. 2.31), и нажать кнопку «Добавить».
2.5.4. Настройка VPN-доступа¶
Для того чтобы добавить VPN с конфигурацией в терминальную операционную систему требуется выбрать нужный профиль из контекстного меню (Рис. 2.32). В случае отсутствия файла конфигурации VPN будет доступен единственный вариант – «не использовать».
Для того чтобы установить VPN-доступ необходимо использовать два файла:
- файл в формате *.ovpn, в строке „auth-user-pass“ которого находится название файла
auth.txt
; - файл текстового формата
auth.txt
, содержащий только две строки: логин и пароль.
Оба файла должны находиться в одной директории - это обеспечит автоматическую вставку учетных данных при запросе.
Если имеется несколько файлов конфигурации VPN, то они обязаны иметь разные имена. Также необходимо прописать их названия в строку „auth-user-pass“ файла *.ovpn. Тогда при входе через профиль VPN с одним из файлов конфигурации, но под другой учетной записью, требуется переименовать предыдущий файл и создать новый текстовый документ с новыми учетными данными.
В целях сокрытия логина и пароля строка „auth-user-pass“ в файле с разрешением *.ovpn может полностью отсутствовать. В этом случае запрос логина и пароля будет происходить каждый раз при входе в систему.
После записи на съемный носитель в директорию /tionix/vpn
необходимо добавить папку с файлами auth.txt
и *.ovpn.
В ОС Windows это можно сделать вручную, а в ОС Linux командой:
mv<файл><папка>