Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены

3.
Если политика информационной безопасности компании позволяет, для автоматического добавления серверного сертификата СД при первом под- ключении к данному серверу установите отметку в поле "Запрашивать до- бавление других серверных сертификатов".
Внимание! Для корректной работы "Континент-АП" необходимо заранее выполнить импорт из- дателя (корневого сертификата) сертификата сервера.
4. Для организации проверки подлинности сертификата по CRL установите фла- жок "Проверять сертификаты по CRL".
Внимание! Отключение проверки сертификатов по CRL понижает уровень безопасности. Так- же при выключении данной настройки ранее отозванные сертификаты вновь будут считаться действительными.
5. Для настройки периода автоматического обновления сертификата CRL уста- новите флажок "Скачивать CRL автоматически" и укажите нужный период в соответствующем поле.
6. Выберите режим отображения ПО после запуска.
7. Для автоматического подключения с профилем по умолчанию после старта системы установите отметку в соответствующее поле. Для ручного выбора профиля подключения снимите отметку.
8. Для настройки автоматического разрыва соединения после выхода из "Кон- тинент-АП" установите отметку в соответствующем поле (по умолчанию оп- ция не активирована).
Внешний прокси
Внимание! Данные настройки прокси-сервера будут использоваться при соединении с СД и при он- лайн-регистрации.
Для настройки подключения к интернету через внешний прокси-сер-
вер:
1. Выберите в меню настроек пункт "Внешний прокси".
В области отображения информации основного окна отобразится со- ответствующий список настроек.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
39
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

2. Установите отметку в поле "Использовать внешний прокси-сервер".
3. В поле "Адрес" введите IP-адрес или имя прокси-сервера. В поле "Порт" —
порт для подключения к прокси-серверу.
4. Выберите способ аутентификации из раскрывающегося списка.
5. При необходимости укажите имя домена, логин и пароль.
6. Для завершения настройки и применения введенных или исправленных зна- чений параметров нажмите кнопку "Сохранить".
Внешний вид
Для настройки вида интерфейса "Континент-АП":
1. Выберите в меню настроек пункт "Внешний вид".
В
области отображения информации основного окна появится со- ответствующий список настроек.
2. Выберите тему оформления.
Внешний вид интерфейка "Континент-АП" и его утилит будет изменен.
Просмотр событий
События, связанные с работой абонентского пункта и подключениями к серверу доступа, регистрируются в журнале.
Примечание. При высоком уровне безопаности (исполнение 6) только Администратор имеет право на чтение файла логов.
Для просмотра событий:
•
С помощью любого приложения для просмотра текста откройте файл с логами
/var/log/cts.log
cts events
Для каждого события приводятся следующие сведения:
•
дата и время;
•
категория события;
•
имя пользователя
(только для событий,
инициированных поль- зователем);
•
краткое описание события.
Для сбора диагностической информации:
1. Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Сбор диагностической информации".
Появится предложение об экспорте диагностической информации.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
40
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Примечание. Для включения в сборку файлов дампов поставьте отметку в соответствующее поле.
При включении файлов дампов в экспортный файл формирование отчета занимает более про- должительное время.
2. Нажмите кнопку "Экспорт".
На экране появится окно для работы с файловой системой.
3. Укажите место хранения и название файла архива и нажмите кнопку "Сохра- нить".
В случае успешного сохранения файла появится соответствующее сооб- щение.
Контроль целостности
Контроль целостности у "Континент-АП" осуществляется:
•
при запуске ПО;
•
установлении соединения с СД;
•
ежедневно в 17.00 по системному времени,
а также вручную, с помощью УКЦ.
Для того чтобы пересчитать контрольные суммы, необходимо запустить СКЗИ
"Континент-АП" в режиме администратора.
Для запуска УКЦ:
•
Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Контроль целостности".
Проверка начнется автоматически, и на экране появится основное окно ути- литы с результатом проверки и информационное сообщение о том, что про- верка КЦ выполнена.
Значок означает, что файл успешно прошел проверку.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
41
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Для пересчета контрольных сумм:
1. Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Контроль целостности (Режим Администратора)".
На экране появится окно подтверждения прав администратора.
2. Введите пароль и нажмите кнопку "Да".
Проверка КЦ начнется автоматически, и на экране появится основное окно утилиты с результатом проверки и информационное сообщение о том, что проверка КЦ выполнена.
3. В основном окне УКЦ выберите на панели инструментов пункт "Пересчитать контрольные суммы".
На экране появится окно подтверждения запуска процедуры и преду- преждение о том, что эталонные значения контрольных сумм будут об- новлены.
4. Нажмите кнопку "ОК".
Будет выполнен пофайловый пересчет контрольных сумм "Континент-АП".
После его успешного завершения на экране появится информационное окно.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
42
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Приложение
Список поддерживаемых ОС семейства Linux
Операционная система
Для абонентского пункта в исполнении 4:
• HP ThinPro 7.1 x86_64;
• Astra Linux:
• Astra Linux Special Edition 8.1 "Ленинград" на платформе "Эльбрус";
• Альт:
• Рабочая станция на платформе "Эльбрус" v.3
(e2k-401) и v.4 (e2k-101)
Для абонентского пункта в исполнениях 4 и 5:
• Astra Linux
• Astra Linux Common Edition 1.9 х86_64;
• Astra Linux Common Edition 1.11 "Орел" х86_64;
• Astra Linux Common Edition 2.12 "Орел" х86_64;
• Astra Linux Special Edition 1.5 "Смоленск" х86_64;
• Astra Linux Special Edition 1.6 "Смоленск" х86_64;
• CentOS:
• CentOS 6.5 i386/x86_64;
• CentOS 7.3.1611 x86_64;
• CentOS 7.6.1810 x64;
• ContinentOS 4.2 x86_64;
• Debian:
• Debian 7.6 wheezy i386/x86_64;
• Debian 9.5 stretch i386/x64;
• GosLinux 6.4 i686/x86_64;
• Oracle Linux:
• Oracle Linux 7.2 x86_64;
• Oracle Linux 7.3 x86_64;
• RHEL:
• RHEL 6.5 Desktop i386/x86_64;
• RHEL 6.5 Server i386/x86_64;
• RHEL 6.8 Desktop i386/x86_64;
• RHEL 6.8 Server i386/x86_64;
• RHEL 7 Desktop x86_64;
• RHEL 7 Server x86_64;
• RHEL 7.6 Desktop x86_64;
• RHEL 7.6 Server x86_64;
• ROSA Enterprise Desktop X3 i586/x86_64;
• SUSE Linux Enterprise 15 x86_64;
• Ubuntu:
• Ubuntu 14.04 LTS Desktop i386/x86_64;
• Ubuntu 14.04 LTS Server i386/x86_64;
• Ubuntu 18.04 LTS Desktop x86_64;
• Ubuntu 18.04 LTS Server x86_64;
• Альт Линукс СПТ 7.0 i586/x86_64;
• Альт:
• Альт 8 СП i586/x86_64;
• Альт Рабочая станция 8.1 i586/x86_64;
• РЕД ОС 7.1 МУРОМ x64
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
43
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Операционная система
Для абонентского пункта в исполнении 6:
• Astra Linux:
• Astra Linux Special Edition 1.5 (версия ядра 4.2.0-
23) х86_64;
• Astra Linux Special Edition 1.6 (версия ядра 4.15.3)
х86_64;
• Astra Linux Common Edition 2.12 (версия ядра
4.15.3) х86_64;
• Альт 8 СП (версия ядра 4.4.86-std-def-alt0.M80C.1)
i586/x86_64;
• Альт Рабочая станция 8.1 (версия ядра 4.4.110- alt0.M80C.1) i586/x86_64;
• CentOS:
• CentOS 7.3.1611 (версия ядра 3.10.0-
693.11.6.el7) х86_64;
• CentOS 7.6.1810 (версия ядра 3.10.0-957.el7)
х86_64;
• ContinentOS 4.2 (версия ядра 3.10.0-862.el7) х86_64;
• Debian 9.5 stretch (версия ядра 4.9.0-7-amd64 #1
SMP Debian 4.9.110-1) i386/x6;
• RHEL:
• RHEL 6.8 (версия ядра 2.6.32-642.13.1.el6x86_
64) х86_64;
• RHEL 7.5 (версия ядра 3.10.0-862.el7.x86_64)
х86_64
ОС Astra Linux SE 1.6. Особенности установки и настройки
работы "Континент-АП"
Корректная установка и работа "Континент-АП" на компьютер, где используется
ОС Астра 1.6 SE с настроенными доступными пользователю ненулевыми мандат- ными метками, требует некоторых дополнительных операций.
Для корректрой установке и дальнейшей работы:
1. Зайдите пользователем с нулевым уровнем конфиденциальности и высоким уровне целостности.
2. Установите "Континент-АП". Не перезагружайте компьютер.
3. Под root запустите скрипт /usr/share/cts/install/adapt_to_parsec.
4.
Выдайте пользователю с ненулевым уровнем конфиденциальности раз- решение PARSEC_CAP_PRIV_SOCK.
Внимание! Рекомендуем делать это через графический конфигуратор, вызвав из главного ме- ню "Панель управления → Безопасность → Политика безопасности → Пользователи → <Имя пользователя> → Вкладка "Привилегии" и установив в колонке Parsec галочку в поле parsec_
cap_priv_sock.
Если этого не сделать, вход пользователя с ненулевым уровнем конфиденциальности после выполнения вышеупомянутого скрипта будет невозможен.
"Континент-АП" также работать не будет.
5. Перезагрузите компьютер.
6. Войдите в систему, используя учетные данные пользователя и те настройки безопасности, которые планируются для данного пользователя при работе с абонентским пунктом, и добавьте необходимые профили в АП.
Пояснение.Это ограничение обусловлено особенностями реализации мандатного доступа в
ОС: домашний каталог для одного и того же пользователя с разными настройками безопасности располагается в разных местах на жестком диске.
7. Если для создания профиля на СД требуется создание запроса на машине пользователя, создайте его также войдя с нужными настройками безо- пасности (мандатными метками).
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
44
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Права пользователей и администраторов
Ниже приведены функции абонентского пункта, доступные пользователям в за- висимости от их роли. Пользователи с правами администратора имеют возмож- ность изменять все настройки абонентского пукта. Обычные пользователи имеют ряд ограничений, указанных в таблице ниже.
Функция АП
КС1 КС2 КС3 Примечание
Профили:
добавления
+
+
-
Профили: импорт
+
+
+
При импорте профиля доступен импорт всех сер- тификатов.
Вручную можно импортировать только сертификат пользователя
Профили:
редактирование
+
+
-
Профили:
Удаление
+
+
-
Запрос на сертификат
+
+
+
Сертификаты пользовательские:
импорт
+
+
+
Сертификаты пользовательские:
удаление
+
+
-
Сертификаты серверные: импорт
+
+
-
Для КС3 запрещено добав- ление серверного серти- фиката при подключении. Необходим корневой сертификат.
Сертификаты серверные:
удаление
+
+
-
Сертификаты корневые:
импорт
+
+
-
Сертификаты корневые:
удаление
+
+
-
CDP:
добавление
+
+
-
CDP:
редактирование
+
+
-
CDP: удаление
+
+
-
CRL: импорт
+
+
-
Настройки сертификатов
-
-
-
Настройки CRL
-
-
-
Для КС2- КС3 запрещено отключение проверки по
CRL
Режим запуска
+
+
-
Внешний прокси
+
+
-
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
45
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Управление абонентским пунктом из командной строки
В данном разделе приведено описание специализированной утилиты cts ,
расположенной в каталоге /usr/share/cts/bin, используемой для управления абонентским пунктом.
В этом каталоге содержатся все исполняемые файлы "Континент-АП".
Утилита используется при выполнении следующих функций:
•
подключение к СД;
•
создание запросов на сертификат с сохранением закрытого ключа на раз- личные ключевые носители;
•
работа с корневым сертификатом;
•
импорт профиля;
•
управление профилем пользователя;
•
работа с сертификатами пользователя;
•
работа с серверными сертификатами;
•
работа с CRL и CDP;
•
просмотр информации о профилях, сертификатах и СД;
•
просмотр журнала;
•
просмотр сведений о программе.
Также в консольном режиме используются следующие утилит:
•
autoctsiс;
•
cts – управление "Континент-АП";
•
ctsic – утилита для контроля и расчета КЦ;
•
ctsreg – утилита регистрации.
Для вызова командной строки (на примере ОС Astra Linux Special
Edition 1.6 "Смоленск" х64):
•
Выберите в меню "Приложения" пункт "Системные | Терминал Fly".
На экране появится окно консоли.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
46
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Формат вызова утилиты:
cts команда [-параметр 1] [-параметр 2]... [-параметр n]
Для каждой команды имеется свой уникальный набор параметров. В квадратных скобках указываются опциональные параметры. Для ознакомления с полным перечнем команд и их параметров следует вызвать встроенную справку утилиты командой:
cts --help
Ниже описаны некоторые команды и особенности их выполнения.
Команда
Описание
add cdp
Добавление CDP
add cert
Добавление сертификата или CRL
add connection
Добавление подключения к СД в существующий профиль пользователя add profile
Создание профиля пользователя configure proxy
Настройка прокси-соединения configure settings
Изменение настроек "Континент-АП"
connect
Подключение к СД
del cert
Удаление сертификатов и CRL
del connection
Удаление существующего подключения в профиле пользователя del profile
Удаление профиля пользователя disconnect
Отключение от СД
events
Просмотр журнала событий import profile
Импорт конфигурационного файла профиля пользователя import
Импорт закрытого ключа modify connection
Редактирование подключения в профиле пользователя modify profile
Редактирование профиля пользователя request
Создание запроса на сертификат setparam
Настройка профиля по умолчанию
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
47
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда
Описание
show all
Просмотр всей информации о профилях show cert
Просмотр информации о сертификатах show profile
Просмотр списка профилей show settings
Вывод на экран текущих настроек работы "Континент-АП" или настроек прокси-сервера show stats
Просмотр информации о подключениях update crl
Ручной запуск обновления CRL
update keypass
Смена пароля ключевого контейнера сертификата пользователя version
Просмотр версии Linux АП
Команда add cdp
Команда предназначена для добавления СDP.
Внимание!
Для использования этой команды в исполнении
6
(КС3)- пользователь должен обладать правами администратора.
Параметры
Описание
Обязательные
-url
URL-адрес CDP
Пример использования:
cts add cdp http://172.17.7.27/certnroll/new.crl
Добавление CDP для скачивания CRL
Команда add cert
Команда предназначена для добавления сертификатов безопасности.
Внимание! Для использования этой команды пользователь должен обладать правами администратора.
Параметры
Описание
Обязательные
-cert_path
Путь и название сертификата
-cert_type {user | ca | as | crl}
Тип сертификата: пользователя / серверный /
корневой / crl
Пример использования:
cts add cert -cert_type ca
-cert_path
/home/user/root.cer
Добавление корневого сертификата из каталога
/home/user/root.cer
Команда add connection
Команда предназначена для добавления подключения к СД в существующем про- филе пользователя.
Параметры
Описание
Обязательные
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
48
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Параметры
Описание
-profile
Имя профиля
-name
Имя подключения
-server
Имя или IP-адрес сервера
Опциональные
-tcp_port
Порт TCP
-udp_port
Порт UDP
-user
Имя пользователя
Пример использования:
cts add connection-profile
TR06-name conn_2-server
192.168.0.20-conn_type tcp- tcp_port 443
Добавление в существующий профиль TR06
подключения к СД по адресу 192.168.0.20 по TCP порту
443
Команда add profile
Команда предназначена для создания профиля подключения.
Параметры
Описание
Обязательные
-name
Имя профиля
-server
Имя или IP-адрес сервера
Опциональные
-cert_path PATH>
Путь и название сертификата
-user_login
Логин пользователя на СД
-auth_type { login | cert }
Тип аутентификации: по логину / по сер- тификату
-user
Имя пользователя
-sp
Порт на СД
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"