Вопрос дружбы некопируемых Rutoken

Штатное перенаправление USB через RDP, встроенное в Windows Server
Ответить
Temcher
Сообщения: 2
Зарегистрирован: Пн апр 18, 2022 6:03 pm

Вопрос дружбы некопируемых Rutoken

Сообщение Temcher »

В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
Temcher
Сообщения: 2
Зарегистрирован: Пн апр 18, 2022 6:03 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение Temcher »

Пока писал, нашел игрушку вот такую http://distkontrol.ru/index.php/usboverip161 , но опять же, не понятно пока, как ее к WTWare подружить.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.

Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.

PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
Bambor
Сообщения: 38
Зарегистрирован: Вт апр 30, 2019 8:04 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение Bambor »

Temcher писал(а):
Пн апр 18, 2022 6:08 pm
В общем наверное глупый вопрос.
Сейчас начали выпускать электронные подписи на рутокенах с меткой запрета копирования, и где ключ там и подпись, но сейчас время удаленок и хочется сделать все более мобильным.
Может есть вариант создать некий сервер USB-IP, к примеру в конторе, а что бы терминалы WTWare подключались к нему и подключали устройства к себе через USB-IP, или в сессию удаленного клиента прилетали эти чертовы ключи. А уж если можно выбирать, какой ключ сейчас подключить, то вообще огонь!
Эти токены таки можно копировать, погуглите.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Пн апр 18, 2022 11:16 pm
Игрушку надо дружить не с втварью, а с сервером. Только я бы не стал ставить на боевой сервер драйвер этой игрушки. Разве что делать не терминальный сервер, один на всех, а VDI - ставить каждому юзеру отдельную виртуальную машину с виндой, в неё драйвер игрушки.

Если есть возможность поставить сервер на физическом железе - можно воткнуть токен в физический порт сервера и перенаправиль нужной виртуальной машине. Локальный USB перенаправится всяко лучше сетевого, и лишний драйвер ставить не придётся.

PS: расшаривать токены по сети - это как клеить на монитор бумажки с паролями...
Нет. Эти токены нужно дружить именно с втварью! Тогда они (токенты) будут проброшены в терминальник как смарткарты и будут видны там криптопровайдеру! Если клиента (того же Virtualhere) ставить на терминал и подключать USB устройство из сессии (RDP) на терминале, то увы, они видны не будут

+1 к фиче, чтобы Virtualhere клиент (на самой wtware) имел бы возможность подключать удаленный USB токен. Сейчас это так же можно реализовать (через костыли), но остается вопрос как эти ключи отключать (у пользователя нет такой возможности)
Было бы мега круто, чтобы пользователи имели возможность и подключать, и отключать USB устройства с удаленного VirtualHere сервера (например доп меню по аналогии с переключением мониторов в правом нижнем углу), тем более, что VirtualHere клиент не требует доп лицензирования (не требуется лицензии для подключения устройств)

Даже готовы в некоторой степени продонатить реализацию этой функции 8)
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Я честно перечитал три раза и ничего не понял.

От втвари что требуется?
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

Изображу схематично, как не работает (проброс токенов на сервер терминалов)
|||||| RDP |||| TCP/IP
wtware ---> TS <-------- VirtualHere Server
||||||||||||||USB port||||||||||||||

Теперь как работает (будет работать при реализации)
|||||||||||||||||TCP/IP |||||||||RDP
VirtualHere Server ---------> wtware -------> TS
|||||||||||||||||USB port|||||||SmartCard

От Wtware требуется:
1) иметь возможность загрузить VirtualHere клиент
2) в конфиге иметь возможность указать адрес сервера Vritualhere (IP) и ID (или адрес) USB порта на Virtualhere сервере (или несколько таких комбинаций)
3) в GUI реализовать возможность как подключения удаленного USB порта, так и отключения (например как реализовано переключение между виртуальными экранами - появляется всплывающая форма и там список IP:адрес из п.2 USB портов для подключения/отключения )

Те. пользователь подключает удаленное USB устройство (с помощью Virualhere клиента) к самой втвари, которое пробрасывается на сервер терминалов уже внутри RDP. Для токенов этот проброс будет - пробросом смарткарты (как будто кто-то включил токен в саму втварь) и криптопровайдер на стороне терминального сервера это увидит

Главная часть реализации - это поддержка подключения удаленного USB через GUI втвари (и не только подключение, но и ОТКЛЮЧЕНИЕ USB устройства)

P.S. если говорить, о безопасности выставления в сеть сервера с USB ключами, то варианты решения:
а) Virtualhere имеет функционал авторизации и SSL
б) так как используется сеть, то доступна фильтрация на уровне L2/L3 через файрвол на сервере Virtualhere и/или маршрутизаторе
в) пинкоды для самих токенах
г) еще 4 комбинации сочетания пунктов а), б) и в)

Вот пример реализации GUI:
https://prnt.sc/33h7wsJAtQvd
Изображение
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Кто такой "RDP VirtualHere Server " ?

Как управлять VirtualHere ? Сейчас VirtualHere это исполнимый файл, который не мы писали, и конфиг к нему. Мы просто запускаем исполинмый файл, и дальше он сам работает. Я не знаю никакого метода управления VirtualHere.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Ты точно понимаешь, кто здесь server и кто client?
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Пн июн 06, 2022 1:38 pm
Ты точно понимаешь, кто здесь server и кто client?
Абсолютно. И очень удивляюсь, что идея вам непонятна :?

Еще раз

0) Предположим в сети есть отдельный сервер VirtualHere - его настройка нас не интересует. Нас интересует его IP и адрес/идентификатор USB порта, который мы будет подключать к втвари
1) Втварь загружает к себе КЛИЕНТА Virtualhere (можно использовать тот же механизм, что сейчас используется для загрузки сервера VirtualHere на втварь - в zip архив, загружаемы на втварь из параметра extra упаковать не только сервер VirtualHere, но и клиента или только клиента)
2) Втварь запускает клиента (например) в виде сервиса
3) Втварь через API КЛИЕНТА! ( описание его API: https://www.virtualhere.com/client_api ) подключает удаленное USB устройство с удаленного VirtualHere СЕРВЕРА (из пункта 0) к СЕБЕ!
4) Этот USB токен (удаленно подключенный с сервера VirtulaHere) будет проброшен на терминальный сервер внутри протокола RDP , как смарткарта
5) Профит

p.S как это может выглядень в GUI втвари я изобразил на картинке двумя постами ранее.
Дублирую ссылку на нее: https://prnt.sc/33h7wsJAtQvd
Последний раз редактировалось AndreyEver Вт июн 07, 2022 4:14 pm, всего редактировалось 1 раз.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

@aka

Вы же , надеюсь, в курсе, что в реализации терминального сервера от Майкрософт, есть неприятный нюанс, заключающийся в том, что если в сам терминальный сервер физически воткнуть USB токен (Rutoken непример) (или подключить Rutoken через VirtulaHere клиент, установленный на терминальном серевере), то в терминальных сессиях пользователей (подключенных по RDP) эти токены видны НЕ БУДУТ! От слова совсем и By Design)

И это известная фича/проблема
И сам майкрософт говорит, что USB токены должны подключаться (физически) к клиентским станциям и пробрасывать в сервер терминалов внутри RDP сессии, как смарт-карты!

Надеюсь теперь более понятно, почему я во всех своих постах пишу про VirtualHere клиента, который был бы установлен на втваре и подключал бы USB токен К втваре
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Сб июн 04, 2022 7:33 pm
Кто такой "RDP VirtualHere Server " ?
Где я использовал такую комбинацию*?
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Ааа, я понял.

Мой мозг категорически отказывался допускать мысль, что устройство можно перенаправить дважды.

Теоретически, оно да. Перенаправили USB на терминал, и дальше как бы локальный токен терминала перенаправили через RDP.

Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.

А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Пт июн 10, 2022 11:30 am
Практичски я всегда с токенами работаю на физическом железе. Потому что и vmware, и virtualbox косячат перенаправляя USB с хоста в виртуальную машину.

А по сети мы получим те же косяки перенаправления USB плюс на порядок большие задержки. Не верю, что это будет работать. Ожидаю постоянные отвалы.
Это прекрасно работает с Windows и Linux клиентами (и с сервером Virtulahere в локальной сети, и ,даже, с удаленным и использованием SSL). Да, при доступе к токену возникает некоторая задержка (до 5-10 секунд), но это абсолютно некритично для операций подписи документов и/или входа на какой-нибудь гос портал

Пользуемся этой связкой уже много лет и на многих местах держим полноценные ОС только из-за отсуствия данного функционала (клиента Virtualhere) в Wtware. С удовольствием переведем еще 100+ клиентов на Wtware, если/когда такая функция появится
amxs3
Сообщения: 162
Зарегистрирован: Пн окт 31, 2016 11:19 am

Re: Вопрос дружбы некопируемых Rutoken

Сообщение amxs3 »

да, реквестирую.
в связи с тем что подписи теперь нужно делать почти каждому продавцу и все они на токенах.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Чтобы под втварью заработал клиент virtualhere, надо собирать ядро с usbip. Клиент на линуксе без usbip в ядре не запускается.

Еще раз: сервер VirtualHere на линуксе работает без usbip. Потому что работать на линуксе с физическим USB устройством можно, для этого не надо в ядро лезть, тупо берешь и читаешь/пишешь файл существующего устройства.

Клиент VirtualHere на линуксе работает через usbip. Потому что сочинить виртуальное новое USB устройство и отдать его ядру, не влезая в ядро, нельзя. Нужен какой-то костыль, usbip видимо был самым подходящим.

Если нам нужно пробросить токен откуда-то на втварь, может VirtualHere не нужен? Если всё равно трафик пойдёт через линуксвовое usbip. Может, правильнее отадвать токены с другого линукса через usbip и не притягивать VirtualHere?
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

У меня не получается пользоваться клиентом VirtualHere бесплатно.

0. Поставить свежую втварь. Подней клиент VirtualHere может запуститься.

1. Скачать отсюда: http://wtware.com/files/virtualhere/ архив vhclient____.zip под нужную архитектуру. Не распаковывать, записать zip в "C:\Program Files (x86)\WTware\TFTPDROOT\Everyone\"

2. В конфиге терминала на выбор одну из этих строк, под нужную архитектуру:

Код: Выделить всё

extra=telnetd,vhclientarmhf
или

Код: Выделить всё

extra=telnetd,vhclienti386
или

Код: Выделить всё

extra=telnetd,vhclientx86_64
3. Перезагружаем терминал. На другом компьютере, windows тоже подойдёт:

Код: Выделить всё

telnet 10.1.1.210
Вместо 10.1.1.210 IP-адрес терминала, которому в конфиге указали "extra="

Получается командная строка на терминале.

Из комнадной строки на терминале (вместо ./vhclientx86_64 набрать четыре символа ./vh и нажать Tab, оно само подставит нужное):

Код: Выделить всё

./vhclientx86_64 -t "MANUAL HUB ADD,10.1.1.124"
Вместо 10.1.1.124 IP-адрес сервера VirtualHere, который раздаёт устройство.

Получаем такое:

Код: Выделить всё

# ./vhclientx86_64 -t "list"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)

zpruef2 (zpruef2:7575)
   --> Rutoken ECP (zpruef2.112)

Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
Оно видит ондно расшареное устрйоство. Пытаюсь его использовать:

Код: Выделить всё

# ./vhclientx86_64 -t "use,zpruef2.112"
FAILED
Облом. В логе терминала:

Код: Выделить всё

VirtualHere Client: You need to purchase a license for your Server (10.1.1.124:7575) to enable access via a VirtualHere Client running as a service
Денег хочет. Даже за одно устройство.

Нашел на ru-board якобы вылеченные VirtualHere Server версии 4.3.3 и Client версии 5.2.3. Заменил И клиент, И сервер на файлы с ru-board. Запускаю - та же ошибка, хочет лицензию для работы в режиме сервиса.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

Спасибо! Приступаем к тестированию

P.S. Да, в режиме работы клиента как сервиса VirtualHere сервер! требует лицензирования. Не вижу в этом никакой проблемы. Лицензия на сервер (клиент не требует лицензированиея, поэтому может быть использован в Wtware без ограничений

P.S.S. Готовы оплатить вам лицензию Virtualhere сервера для полноценного тестирования/реализации
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

Делаем все по мануалу - работает. Ключи видны, операции в банках бухалтеры совершают.

Использовать без элементов в GUI для подключения/отключения токенов практически невозможно (разные бухгалтеры используют одни и те же токены, а научить их пользоваться телнетом и вручную подключать/отключать токены задача утопичная :lol: ), но концепция проверена и работает! :!:

Результат:
https://prnt.sc/YcZp1hJtkzt2

Код: Выделить всё

# ./vhclienti386 -t "MANUAL HUB ADD,10.38.0.245"
OK
# ./vhclienti386 -t "LIST"
VirtualHere Client IPC, below are the available devices:
(Value in brackets = address, * = Auto-Use)

Kabel-Group VirutalHere USB Server (vhui-srv:7575)
   --> ╨Ъ╨╕╨╝╤А╤Г╤Б_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11212) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
   --> ╨Ю╨б╨Ъ_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.1122)
   --> ╨Ю╨б╨Ъ_╤Б╨░╨╜╨┐╨╕╤В (vhui-srv.1124) (In-use by:╨Э╨░╤В╨░╨╗╤М╤П ╨Ь╨╕╨╜╨╕╨╜╨░ (╨Э╨░╤В╨░╨╗╤М╤П) at 10.38.0.139)
   --> ╨н╤А╨╝╨░╤И_╨а╨╛╤Б╨▒╨░╨╜╨║ (vhui-srv.11211)

Auto-Find currently on
Auto-Use All currently off
Reverse Lookup currently off
Reverse SSL Lookup currently off
VirtualHere Client is running as a service
# ./vhclienti386 -t "USE,vhui-srv.1122"
OK
#
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Хорошо, переходим к следующему мануалу.

0. Поставить ... update: обычную втварь версии 6.0.86 иди новее.

1. и 2. как в предыдущем мануале.

3. Перезагружаем терминал. Открываем веб браузер, в браузере обращаемся к http://ip-терминала. Получаем веб-интерфейс терминала, в котором будет раздел "VirtualHere client command line". Там ещё будет квест с https и паролем, надо пройти.

4. Из веб-интерфейса с командной строки virtualhere те же команды:

Код: Выделить всё

MANUAL HUB ADD,192.168.1.124
Оно должно ответить в барузер "OK"

Код: Выделить всё

USE,c27.113
С лицензией у сервера оно мне ответило "OK", втварь в логе написала что видит токен.

Через веб-интерфейс подключение/отключение токенов можно сделать доступным для бухгалтера. В порядке эксперимента. Если поедет на живых людях, будем делать настоящий GUI. Гугл подскажет, где взять curl.exe для виндовса. На десктопе бухгалтеру положи скрипт с парой команд:

Код: Выделить всё

curl.exe --insecure --user wtware:12345 --form "command=MANUAL HUB ADD,192.168.1.124" https://192.168.1.211/vhclient
curl.exe --insecure --user wtware:12345 --form "command=USE,c27.113" https://192.168.1.211/vhclient
Бухгалтер кликает по скрипту - команды уходят терминалу - токен подключается. Адреса заменить, вместо 12345 пароль терминала.

Отключить всё:

Код: Выделить всё

curl.exe --insecure --user wtware:12345 --form "command=STOP USING ALL" https://192.168.1.211/vhclient
Втварь не умеет больше одного токена одновременно.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

Провели тестовый прогон у себя на стенде. Схема работает. Ключ подключился к Wtware и пробросился на терминал

Замечено:
- ругань в лог после команды STOP USING ALL (pcscd)
- обрывы соедниения после команды "USE,.... " с ошибкой "Подключение разорвано терминалом" в WTRC клиенте
(иногда обрывы и после "STOP USING ALL")

Код: Выделить всё

[        KERNEL] [  492.852115] usb 5-1: SetAddress Request (3) to port 0
[        KERNEL] [  492.935192] usb 5-1: New USB device found, idVendor=24dc, idProduct=0101, bcdDevice=25.14
[        KERNEL] [  492.935195] usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[        KERNEL] [  492.935197] usb 5-1: Product: JaCarta
[        KERNEL] [  492.935199] usb 5-1: Manufacturer: ARDS
[        KERNEL] [  492.935200] usb 5-1: SerialNumber: 000000000000
[            gm] [  523.056048] [WTRC] SSL_write for update failed: status -1 (0xffffffff), error 3 (0x00000003), errno 11. Disconnect from 10.254.0.121.
[        KERNEL] [  526.690350] vhci_hcd: stop threads
[        KERNEL] [  526.690352] vhci_hcd: release socket
[        KERNEL] [  526.690355] vhci_hcd: disconnect device
[        KERNEL] [  526.690385] usb 5-1: USB disconnect, device number 3
[        SYSLOG] [  527.086367] <14>Sep 12 08:16:26 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[        SYSLOG] [  527.086401] <14>Sep 12 08:16:26 pcscd: ifdwrapper.c:364:IFDStatusICC() Card not transacted: 617
[        SYSLOG] [  528.086588] <14>Sep 12 08:16:27 pcscd: eventhandler.c:336:EHStatusHandlerThread() Error communicating to: Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00
[        SYSLOG] [  528.086618] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:1343:InterruptRead() libusb_submit_transfer failed: LIBUSB_ERROR_NO_DEVICE
[        SYSLOG] [  528.486808] <14>Sep 12 08:16:27 pcscd: ccid_usb.c:858:WriteUSB() write failed (5/3): -4 LIBUSB_ERROR_NO_DEVICE
[            gm] [  557.642209] [WTRC] Connection from 10.254.0.121.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

2 недели - полет номармальный. Кроме обозначенных выше ошибок, которые, вроде как, на процесс работы с токеном не влияют :?
Бухгалтер подключает токен, после работы отключает (правда не всегда, поэтому в первые дни были жалобы, что второй токен не подключатеся), платежки подписываются, банк операции проводит :!:
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Попробуй:

http://wtware.com/testing/202210130006.zip

В конфиге:

Код: Выделить всё

vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
Скачать у virtualhere клиента под нужную архитектуру и положить в каталог Everyone, если берём конфиги с TFTP. Или в каталог configs на локальном диске, если берём конфиги с локального диска теринала.

VirtualHere USB Console Client for Linux (amd64), UEFI:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientx86_64

VirtualHere USB Console Client for Linux (i386), Legacy BIOS:
https://www.virtualhere.com/sites/default/files/usbclient/vhclienti386

VirtualHere USB Console Client for Linux (armhf), Raspbery:
https://www.virtualhere.com/sites/default/files/usbclient/vhclientarmhf

С клиентом ничего делать не надо. Только скачать файл и скопировать в Everyone или в configs.

Должно получиться вот так:
Untitled.png
Untitled.png (3.96 КБ) 1941 просмотр
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Добрый день.
При переходе на версию 6,0,87 (тестовую, как Я понимаю), всё прошло удачно.
Однако, при ручном добавлении хаба и ключа - всё норм. Видит, общается.
При добавлении в текст конфигурации кнопки "vhclient = hub:10.1.1.18:6565, device:USB2IP32-1-Gr-01.31412:Токен ЭДО" при проверке текста - сообщает, что конфигурационный файл несовместим с указанной версией WtWare.
Пожалуйста, подскажите куда копать, что делать и вообще...42...
Спасибо за внимание.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Ср окт 12, 2022 10:07 pm
Попробуй:

http://wtware.com/testing/202210130006.zip

В конфиге:

Код: Выделить всё

vhclient = hub:10.1.1.17, device:c27.113:Токен ЭДО
До начала тестирования сразу хочу попросить реализовать возможность выбора нескольких (хотя бы 2-ух, а в нашем случае 3-ех) токенов.
2 бухгалтера (на которых проходит тестирование 8) ) работают с 3-мя банками, те имеем 3 ключа в сервере Virtualhere. С текущей версией придется миксовать вариант с GUI и API :?
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Здравствуйте еще раз.
Методом долгих проб, тяжёлых ошибок, и длительного чтения есть кое-какая информация.
Проброс ключей через линукс клиента vhclient86_64, загруженного на тонкий клиент, работает в ручном режиме. Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту. В режиме свободного обращения - работает.
Следующее изыскание. На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда. Сохраняет, но не работает.
Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно. И тут больше вопрос, подскажите пожалуйста, через как сделать подключение одного ключа через .bat или каким бы то ни было другим способом. Вариант типа
@echo off
telnet***
./vhclient86_64 -t "manual hub add,***"
Не работает. Потому как после открытия telnet, cmd с этим окном не общается.
Как быть? Подскажите, пожалуйста.
Заранее спасибо за ответ.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

archangel7288 писал(а):
Пн окт 24, 2022 12:49 pm
Через встроенный вэб сервер работать отказывается в режиме ввода логина/пароля для доступа к порту.
Не понимаю эту фразу. Можно больше скриншотов и логов?
archangel7288 писал(а):
Пн окт 24, 2022 12:49 pm
На тестовом билде 6,0,87 сложно писать конфиг, ввиду того, что сыровата (в части выбора firmware, extra - не отображаются файлы, не сохраняет введённые данные, и затирает то, что было написано руками.)
И здесь тоже скриншоты необходимы. Кто стирает?
archangel7288 писал(а):
Пн окт 24, 2022 12:49 pm
При ручном добавлении параметра "vhclient = hub:10.1.1.*, device:c27.***:Токен ЭДО" всё также пишет несовместимость с версией билда.
И здесь необходимы скриншоты и логи.
archangel7288 писал(а):
Пн окт 24, 2022 12:49 pm
Далее, через telnet общение с железкой DistKontrol и подключение портов работает, НО, написать автоматизацию для меня в данный момент не возможно.
Не надо писать автоматизацию через телнет. Это для отладки было сделано, чтобы в ручном режиме видеть, что оно вообще работает и на что будет ругаться. Сделаем пользователю кнопочки, выше же картинка с кнопкой была.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Попробуйте это: http://wtware.com/testing/202210250154.zip

Инструкция, что делать: https://forum.wtware.ru/viewtopic.php?f=35&t=32964

Пожалуйста, по результатам испытания пишите сюда, не засоряйте тему с инструкцией.
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Добрый день.
Теперь кнопки появились, и всё работает.
Однако, преамбула: когда токен уже кем-то подключен, при нажатии на другом терминале на кнопку, происходит небольшое подвисание. Также вопрос, в штатном vhclient есть такая фишка, он пишет кем занят ключ. Чтобы можно было обратиться к человеку и попросить его отключить ключ. Вопрос: можно ли как-то реализовать подобную фичу (показывать кем занят ключ) там же около кнопки или в другом месте? Или проще (теоретически) использовать приложение (dkcl64), чтобы посмотреть?
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Еще один вопрос.
При написании в текст
vhclient = hub:192.168.1.123, device:c27.1111:Токен ЭДО, device:c27.1113:Токен банка
добавляю авторизацию для пользователей. Железо DistKontrolUSB это умеет. Пишу примерно так:
vhclient = hub:192.168.1.123, device:c27.1111,LOGIN/PASS:Токен ЭДО, device:c27.1113:Токен банка
Так вот, что можно использовать как разделитель, чтобы меня понял wtware (между device: и :Токен ЭДО должно помещаться адрес самого ключа + авторизация), поскольку сейчас он разделители видит как-то по своему. Точнее как название кнопки, при этом удаляет вторую кнопку (что логично, поскольку нарушается синтаксис где-то).
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Оказывается, бумажки с паролями, наклеенные на на мониторах - это было вполне безопасно. Пароль мог увидеть только тот, кто мог зайти в помещение.

Теперь мы купим токен, крутейшее криптографическое изделие. Сгенерируем закрытый ключ в токене и сделаем его неизвлекаемым, чтобы гарантировать безопасность.

Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.

Фейспалм.
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Мда. Мысль была так себе.
Ну хорошо.
Реализация общения конечного клиента через тонкого с DistKontrolUSB возможна? Имею ввиду не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Еще один момент по поводу занятого ключа. Пользователям сложно объяснить кто такие эти 12 символов, что заняли токен. Как можно оповестить пользователя, что токен занят "такой-то" машиной? Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

archangel7288 писал(а):
Вт окт 25, 2022 1:42 pm
...не записывать логинпароль в конфиг, а запрашивать его у пользователя после нажатия на кнопку подключения токена?
Сложно интерфейс рисовать. Подождём автора темы, может он что-нибудь придумает.

У DistKontrolUSB логин и пароль? У VirtualHere только пароль:

Код: Выделить всё

Use a device:
    "USE,<address>[,password]"
archangel7288 писал(а):
Вт окт 25, 2022 1:42 pm
Теоретически через dkst64 это возможно. Он пишет что занять пользователем root и машиной wtw**:**:**:**:**:**, где звездочки это мак адрес. Каким-то образом возможно оповестить пользователя что этот wtw*** это условный Ivanov или там SidorovPC???
Укажи терминалу вменяемый хостнейм вместо wtw**. Параметр конфига втвари clienthostname= , или через dhcp можно задать имя хоста.

Втварь в следующей версии будет писать, кто занял устройство, во всплывающем окошке вместо кнопки.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Вот это: http://wtware.com/testing/202210270013.zip

Напишет, кто занял устройство, вместо кнопки подключения.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Вт окт 25, 2022 11:37 am

Затем расшарим токен в сеть и напишем пароль в конфиге, чтобы подключиться к токену мог не только тот, кто входит в помещение, как было во время бумажек на мониторах, а вообще любой.

Фейспалм.
Если мне не изменяет память, то Virtualhere может принимать md5 хэш вместо пароля 8)
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

Безопасная передача пароля - это когда сервер присылает кучку рандома, клиент считает хэш этого рандома с паролем и возвращает серверу, сервер сравнивает. В этом случае нет смысла перехватывать хэш, идущий от клиента к серверу: в следующий раз, с другим рандомом, хэш будет другой.

А принимать одинаковую md5 мне кажется бестолку. Какая разница, списать из конфига пароль или md5 от пароля, если списаное можно использовать для подключения?
archangel7288
Сообщения: 12
Зарегистрирован: Вт май 11, 2021 3:34 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение archangel7288 »

Добрый день.
Первое: Поддержка Rutoken S планируется? Потому как выбраны сейчас [qoute]smartcard=jacarta, rutoken[/quote]
И проброс RuToken Lite происходит нормально, а RuToken S не видит система. (Конечная.)
Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти. Но тут уже как получится.)
4 видит. 5-й ни в какую.
[qoute]vhclient = hub:10.72.1.18:6602, device:IP1-Gr-02.11311:******, hub:10.72.1.18:6604, device:IP1-Gr-04.31424:******************, device:IP1-Gr-04.11331:****, device:IP1-Gr-04.31411:**[/qoute] Вместо * названия и ИНН. Что еще попробовать, чтобы он увидел 5-й токен? Или технически возможно пробросить только 4?
Спасибо за внимание. Очень Ждём.
aka
Разработчик
Разработчик
Сообщения: 11453
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Вопрос дружбы некопируемых Rutoken

Сообщение aka »

archangel7288 писал(а):
Пн окт 31, 2022 9:34 am
Первое: Поддержка Rutoken S планируется?
Нет. Пинайте рутокенов, чтобы они сделали линуксовый драйвер для Rutoken S. Но они не будут, потому что Rutoken S уже много лет не производится.
archangel7288 писал(а):
Пн окт 31, 2022 9:34 am
Второе: Пробрасываем 5 токенов. (Вообще хотелось бы увидеть на одной машине до 16-ти.
16 одинаковых кнопок? Технически возможно, но ужасно же. Там сейчас 4 кнопки забиты, потому что лично я в четырёх уже путаюсь :(

Давайте вы подумаете и напишете ТЗ, что ещё добавить. С учётом того, что эта функциональность нужна трём человекам, и особо напрягаться ради неё мы не будем.
AndreyEver
Сообщения: 30
Зарегистрирован: Пт фев 11, 2022 3:40 pm

Re: Вопрос дружбы некопируемых Rutoken

Сообщение AndreyEver »

aka писал(а):
Пн окт 31, 2022 6:53 pm
Давайте вы подумаете и напишете ТЗ, что ещё добавить. ...
Тоже думаю над этим... Но элегантного решения во сне не приходит. Выпадающий список ?
Мысли в слух: для конфигуратора список с чекбоксами по запросу списка UBS устройств с сервера?
aka писал(а):
Пн окт 31, 2022 6:53 pm
.. С учётом того, что эта функциональность нужна трём человекам, и особо напрягаться ради неё мы не будем.
Вангую. С поголовным переходом в 2023 году на некопируемые токены от ФНС количество запросов на данную фичу вырастет кратно 8)
Ответить

Вернуться в «Перенаправление USB через RDP»