Сбербанк VPN-Key-TLS

[Seravee]

Доброго времени суток.

Появилось ли решение для токенов Сбербанка VPN-Key-TLS ?
Запускаю через тонкие клиенты и там выпадает ошибка 0x000000f, если же вставляю в сервер напрямую и запускаю опять через тонкий, то ошибка: Не удается открыть Infocrypt HWDSSL Device.
Но это все на тестовом, на рабочем там всё ещё хуже, т.к. сервер, куда подключаются пользователи расположен в Hyper-V

[aka]

Перенаправления через smartcard= не будет. Потому что для этих ключей нет линуксовых драйверов.

Можно попробовать перенаправить как USB устрйоство в консольную сессию win8 enterprise, подробнее здесь: http://forum.wtware.ru/viewforum.php?f=33. Но там надо самостоятельно разбираться. Такого чтобы вставил и заработало - нет, мы не сможем так сделать.

[Seravee]

Спасибо большое за ответ.

[Barvinok]

Делаем собственную службу в Windows 2008 R2
Копируем srvany.exe в C:\Windows\System32\
Создаём сервис:
sc create SberBank_BO binPath= C:\Windows\System32\srvany.exe DisplayName= "Сбербанк Бизнес Онлайн"
Создаём раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SberBank_BO\Parameters
В нём создаём строковой параметр Application со значением Y:\START.EXE

ФПСУ, разумеется, должна быть назначена буква Y:

[aka]

Сделали службу. А дальше чего?

[Barvinok]

Запускаем SSLGATE.URL и наслаждаемся Сбербанк@онлайн.
А что ещё надо то?

[aka]

Никакого сложного перенаправления этому токену не надо, достаточно перенаправить диск?

[Barvinok]

Токен я втыкаю прям в сервер, поэтому утверждать не могу.
Но суть (IMHO) такова.
Устройство двухчастно. Одна часть видится как флешка с файлами (только для чтения).
START.EXE запускает локальный прокси-сервер и устанавливает шифрованный туннель до сети сбербанка.
Ключи, которые при этом используются, очевидно, хранятся на второй, скрытой части устройства.
Вот эту вторую часть тоже надо бы перенаправить.
Если я не ошибаюсь, она видится как стандартная смарт-карта (устройство идентификации).

[Barvinok]

Простите, в каком состоянии сейчас поддержка ФПСУ Сбербанка?

[aka]

Эээээ. Ты же выше писал "наслаждаемся Сбербанк@онлайн". Наслаждаться мало, хочется большего?

Линуксовых драйверов нет, и, думаю, не будет.

[Barvinok]

ФПСУ приходится втыкать в сервер. Это некоторым образом омрачает радость использования Сбербанк@Онлайн™.

Хотелось бы втыкать в терминал.
По-моему там можно пробросить обе части по отдельности как обычные флешку и смарт-карту. Разве нет?

[aka]

Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.

[Barvinok]

Понл.

[Barvinok]

Как полагаете, удастся ли пробросить этот ФПСУ целиком как USB-устройство?
Пробовал ли кто из присутствующих?

[aka]

Полагаю, не получится. И лучше сначала попробовать пробросить с виндовса через mstsc.exe.

[PCSC_SCAN]

У нас для данного девайса(infocrypt hwdssl device) виртуалка на kvm,
к ней пользователь подключается при помощи приложения remmina, по протоколу spice.
Там есть возможность полностью пробросить usb устройство.

[EvgK]

Пробрасывается через VirtualHere, подключение через VNC

[aka]

Написал инструкцию про VirtualHere в втвари: https://forum.wtware.ru/viewtopic.php?f=35&t=21746

[Barvinok]

Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.

Кстати, есть

Модули компилируются под любое ядро.
В программе доступен GUI-интерфейс и командная строка.
Для работы комплекса требуются ключи VPN-key с интерфейсом smart card.

[aka]

Это никак не драйвер смарт-карты. Это клиент от их VPN. Это нельзя перенаправить на сервер.

[Barvinok]

Новые вводные.
Этот Infocrypt HWDSSL DEVICE оказывается может работать как обычный защищённый носитель для новых подписей. И локально видится посредством КриптоПро 5.0.
А WTWare его не распознаёт.

Код: Выделить всё

[        KERNEL] [    1.936463] usb 1-1.1: new full-speed USB device number 3 using xhci_hcd
[        KERNEL] [    2.073081] usb 1-1.1: New USB device found, idVendor=2022, idProduct=016c, bcdDevice= 2.00
[        KERNEL] [    2.073095] usb 1-1.1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[        KERNEL] [    2.073107] usb 1-1.1: Product: HWDSSL DEVICE
[        KERNEL] [    2.073117] usb 1-1.1: Manufacturer: Infocrypt

Через mstsc пробрасывается, работает.
Прошу добавить поддержку!

[aka]

Не нахожу никакого линуксового драйвера для "idVendor=2022, idProduct=016c".

[Barvinok]

Ну так вот же обсуждают.

Модули компилируются под любое ядро.
В программе доступен GUI-интерфейс и командная строка.

Это никак не драйвер смарт-карты. Это клиент от их VPN. Это нельзя перенаправить на сервер.

Это одновременно и драйвер смарт-карты и веб-сервер.
И не надо его пробрасывать на сервер - пусть работает на клиенте, а с сервера (и других компьютеров) с ним пусть работают по ip-адресу - это вообще идеально!

Сейчас работа происходит локально через localhost - это не всегда удобно: приходится втыкать ФПСУ прям в сервер и делать службу.

[Barvinok]

PS
Поясню.
ФПСУ двухчастный. Одна часть видится как закрытый носитель (смарт-карта). И эту часть надо пробрасывать на сервер для работы с ЭЦП, которые на ней хранятся.
Вторая часть видится как CD-ROM. На ней хранятся исполняемые файлы веб-сервера (с которым работает пользователь) и VPN-клиент (держит туннель с серверами Сбера).
Вот эту часть пробрасывать не надо. Пусть автозапускается локально на терминале, что бы пользователи с других компьютеров (в т.ч. и терминального сервера) могли с ним работать.

[aka]

Я не осилю всё это сделать без железки.

[SkokovVS]

а если предоставить железку?

[aka]

Будет лучше начать с такого: "я настроил в обычном линуксе, и перенаправление по RDP заработало".

Мне кажется, не заработает. Потому что "Одна часть видится как закрытый носитель (смарт-карта). И эту часть надо пробрасывать на сервер для работы с ЭЦП" - для этого нужен линуксовый драйвер, а я его не нахожу.

[akatik]

hwdssl 2022:016c должен заработать в 6.2.52:

Код: Выделить всё

smartcard=HWDSSL