Сбербанк VPN-Key-TLS

Темы, которые не попадают в остальные категории.
Ответить
Seravee

Сбербанк VPN-Key-TLS

Сообщение Seravee »

Доброго времени суток.

Появилось ли решение для токенов Сбербанка VPN-Key-TLS ?
Запускаю через тонкие клиенты и там выпадает ошибка 0x000000f, если же вставляю в сервер напрямую и запускаю опять через тонкий, то ошибка: Не удается открыть Infocrypt HWDSSL Device.
Но это все на тестовом, на рабочем там всё ещё хуже, т.к. сервер, куда подключаются пользователи расположен в Hyper-V
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Перенаправления через smartcard= не будет. Потому что для этих ключей нет линуксовых драйверов.

Можно попробовать перенаправить как USB устрйоство в консольную сессию win8 enterprise, подробнее здесь: http://forum.wtware.ru/viewforum.php?f=33. Но там надо самостоятельно разбираться. Такого чтобы вставил и заработало - нет, мы не сможем так сделать.
Seravee

Re: Сбербанк VPN-Key-TLS

Сообщение Seravee »

Спасибо большое за ответ.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Делаем собственную службу в Windows 2008 R2
Копируем srvany.exe в C:\Windows\System32\
Создаём сервис:
sc create SberBank_BO binPath= C:\Windows\System32\srvany.exe DisplayName= "Сбербанк Бизнес Онлайн"
Создаём раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SberBank_BO\Parameters
В нём создаём строковой параметр Application со значением Y:\START.EXE

ФПСУ, разумеется, должна быть назначена буква Y:
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Сделали службу. А дальше чего?
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Запускаем SSLGATE.URL и наслаждаемся Сбербанк@онлайн.
А что ещё надо то?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Никакого сложного перенаправления этому токену не надо, достаточно перенаправить диск?
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Токен я втыкаю прям в сервер, поэтому утверждать не могу.
Но суть (IMHO) такова.
Устройство двухчастно. Одна часть видится как флешка с файлами (только для чтения).
START.EXE запускает локальный прокси-сервер и устанавливает шифрованный туннель до сети сбербанка.
Ключи, которые при этом используются, очевидно, хранятся на второй, скрытой части устройства.
Вот эту вторую часть тоже надо бы перенаправить.
Если я не ошибаюсь, она видится как стандартная смарт-карта (устройство идентификации).
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Простите, в каком состоянии сейчас поддержка ФПСУ Сбербанка?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Эээээ. Ты же выше писал "наслаждаемся Сбербанк@онлайн". Наслаждаться мало, хочется большего?

Линуксовых драйверов нет, и, думаю, не будет.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

ФПСУ приходится втыкать в сервер. Это некоторым образом омрачает радость использования Сбербанк@Онлайн™.

Хотелось бы втыкать в терминал.
По-моему там можно пробросить обе части по отдельности как обычные флешку и смарт-карту. Разве нет?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Понл.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Как полагаете, удастся ли пробросить этот ФПСУ целиком как USB-устройство?
Пробовал ли кто из присутствующих?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Полагаю, не получится. И лучше сначала попробовать пробросить с виндовса через mstsc.exe.
PCSC_SCAN

Re: Сбербанк VPN-Key-TLS

Сообщение PCSC_SCAN »

У нас для данного девайса(infocrypt hwdssl device) виртуалка на kvm,
к ней пользователь подключается при помощи приложения remmina, по протоколу spice.
Там есть возможность полностью пробросить usb устройство.
EvgK

Re: Сбербанк VPN-Key-TLS

Сообщение EvgK »

Пробрасывается через VirtualHere, подключение через VNC
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Написал инструкцию про VirtualHere в втвари: https://forum.wtware.ru/viewtopic.php?f=35&t=21746
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

aka писал(а): Пт сен 16, 2016 3:32 am Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.
Кстати, есть
Модули компилируются под любое ядро.
В программе доступен GUI-интерфейс и командная строка.
Для работы комплекса требуются ключи VPN-key с интерфейсом smart card.
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Это никак не драйвер смарт-карты. Это клиент от их VPN. Это нельзя перенаправить на сервер.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Новые вводные.
Этот Infocrypt HWDSSL DEVICE оказывается может работать как обычный защищённый носитель для новых подписей. И локально видится посредством КриптоПро 5.0.
А WTWare его не распознаёт.

Код: Выделить всё

[        KERNEL] [    1.936463] usb 1-1.1: new full-speed USB device number 3 using xhci_hcd
[        KERNEL] [    2.073081] usb 1-1.1: New USB device found, idVendor=2022, idProduct=016c, bcdDevice= 2.00
[        KERNEL] [    2.073095] usb 1-1.1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[        KERNEL] [    2.073107] usb 1-1.1: Product: HWDSSL DEVICE
[        KERNEL] [    2.073117] usb 1-1.1: Manufacturer: Infocrypt
Через mstsc пробрасывается, работает.
Прошу добавить поддержку!
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Не нахожу никакого линуксового драйвера для "idVendor=2022, idProduct=016c".
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

Ну так вот же обсуждают.
Модули компилируются под любое ядро.
В программе доступен GUI-интерфейс и командная строка.
aka писал(а): Чт мар 04, 2021 1:52 pm Это никак не драйвер смарт-карты. Это клиент от их VPN. Это нельзя перенаправить на сервер.
Это одновременно и драйвер смарт-карты и веб-сервер.
И не надо его пробрасывать на сервер - пусть работает на клиенте, а с сервера (и других компьютеров) с ним пусть работают по ip-адресу - это вообще идеально!

Сейчас работа происходит локально через localhost - это не всегда удобно: приходится втыкать ФПСУ прям в сервер и делать службу.
Barvinok
Сообщения: 591
Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Откуда: Ростов-на-Дону
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение Barvinok »

PS
Поясню.
ФПСУ двухчастный. Одна часть видится как закрытый носитель (смарт-карта). И эту часть надо пробрасывать на сервер для работы с ЭЦП, которые на ней хранятся.
Вторая часть видится как CD-ROM. На ней хранятся исполняемые файлы веб-сервера (с которым работает пользователь) и VPN-клиент (держит туннель с серверами Сбера).
Вот эту часть пробрасывать не надо. Пусть автозапускается локально на терминале, что бы пользователи с других компьютеров (в т.ч. и терминального сервера) могли с ним работать.
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Я не осилю всё это сделать без железки.
SkokovVS
Сообщения: 29
Зарегистрирован: Чт мар 31, 2022 11:58 am

Re: Сбербанк VPN-Key-TLS

Сообщение SkokovVS »

а если предоставить железку?
aka
Разработчик
Разработчик
Сообщения: 11804
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сбербанк VPN-Key-TLS

Сообщение aka »

Будет лучше начать с такого: "я настроил в обычном линуксе, и перенаправление по RDP заработало".

Мне кажется, не заработает. Потому что "Одна часть видится как закрытый носитель (смарт-карта). И эту часть надо пробрасывать на сервер для работы с ЭЦП" - для этого нужен линуксовый драйвер, а я его не нахожу.
Ответить

Вернуться в «Остальное»