3.2.4 Средства поддержки смарт-карт

TIONIX VDI клиент поддерживает аутентификацию пользователя с использованием смарт-карты.

Внимание.

Работа со смарт-картой поддерживается только для ОС Linux.

Чтобы обеспечить поддержку смарт-карт, необходимо проделать следующие действия:

  1. Установите в ОС фронтэнда программные пакеты: opensc, pcsc-lite, pcsc-tools.
# Ubuntu:
apt install pcscd pcsc-tools
systemctl enable pcscd && systemctl start pcscd
# ALT Linux:
apt-get install opensc
apt-get install pcsc-lite pcsc-tools

Для операционной системы CentOS, необходимо предварительно настроить актуальную версию репозитория EPEL:

rpm -Uvh epel-release*rpm

После чего установка выполняется аналогично вышеописанному, с помощью менеджера пакетов (yum или dnf):

# CentOS:
yum install opensc
yum install pcsc-lite pcsc-tools
  1. Установите необходимые зависимости (API).

Доступ клиента к смарт-картам обслуживается через API PKCS11 и PC/SC, библиотеки поддержки которых должны быть доступны из репозитория.

# ALT Linux:
apt-get install libpcsclite-dev
apt-get install python-module-OpenSSL
# CentOS:
yum install pcsc-lite-dev
yum install pyOpenSSL

Предупреждение

в EPEL есть пакет python36-pyOpenSSL (с зависимостями)

  1. Установите пакеты поддержки языка Python.

Для взаимодействия TIONIX VDI клиента с библиотекой поддержки смарт-карт через API PKCS11 используется пакет pykcs11. Если он не был установлен (как зависимость), то следует выполнить одну из команд:

pip install pykcs11
pip3 install PyKCS11

Для работы со смарт-картой через API PC/SC используется пакет python-module-pyscard. Выполните одну из команд установки этого пакета:

# ALT Linux:
apt-get install python-module-pyscard

# CentOS (EPEL):
yum install pyscard

3.2.4.2 Установка библиотек поддержки ESMART Token 4.x

Скачайте архив, содержащий библиотеки ESMART Token 4.x (PKCS#11) для Linux.

Архив содержит библиотечные файлы, помещенные в поддиректории x64/Release (для 64-разрядной архитектуры). Также имеются библиотечные файлы для 32-разрядной архитектуры (x86/Release). Распакуйте содержимое архива в директорию /usr/local/.

Внимание. Архитектура приложения tionix_vdi_client и архитектура любых подключаемых динамически библиотек поддержки должны совпадать.

Необходимо настроить окружение, указывающее путь к библиотечному файлу libisbc_pkcs11_main.so. Для этого используется переменная окружения – „PYKCS11LIB“. Настройка переменной выполняется перед запуском клиента VDI, командой:

export PYKCS11LIB="/usr/local/x64/Release/libisbc_pkcs11_main.so"

Рекомендуется, после выполненной настройки, проверить доступность всех зависимостей данной библиотеки, определяемых при её инициализации. Выполните команду:

ldd $PYKCS11LIB

Примечания.

Переменная „PYKCS11LIB“ также может быть указана в качестве параметра запуска клиента (в конфигурационном файле).

Распакованные библиотеки 32-/64-разрядной поддержки в ОС CentOS7 могут быть также перенесены в директории /usr/local/lib и /usr/local/lib64.

ВАЖНО. Необходимо быть внимательным при прописывании пути в переменной „PYKCS11LIB“, чтобы соблюдалось требование соответствия разрядности используемого ПО клиента и загружаемых динамически системных библиотек.

3.2.4.3 Установка библиотеки поддержки Rutoken ECP 2.0

С помощью утилиты pcsc_scan выполните поиск смарт-карты:

pcsc_scan

Using reader plug'n play mechanism
Scanning present readers...
0: Aktiv Rutoken ECP 00 00
...

Внимание

Wrapper уже отпал?

Внимание.

Во Wrapper необходимо добавить опцию /smartcard.

Скачайте библиотеку поддержки Rutoken.

Установите DEB-пакет:

sudo dpkg -i librtpkcs11ecp_2.0.9.0-1_amd64.deb

Дальше следует склонировать GUI менеджер Рутокена:

git clone https://github.com/AktivCo/rutoken-linux-gui-manager --recursive
sudo apt -y install git
git clone https://github.com/AktivCo/rutoken-linux-gui-manager --recursive

Зайдите в директорию GUI менеджера и запустите token-assistent.run:

cd rutoken-linux-gui-manager
./token-assistent.run

3.2.4.4 Разрешение на использование (политика доступа)

Для возможности работы со смарт-картой в ОС Linux, использующей политики доступа, необходимо выполнить (без прав суперпользователя) команды:

sed -i "s/no/yes/" /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy

systemctl restart pcscd.socket

Будет включено разрешение на доступ к смарт-картам, поддерживаемым пакетом pcsc-lite.