Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены
![]()
|
2. Выберите период для старта получения предупреждения об истечении срока действия сертификата пользователя. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 38 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации 3. Если политика информационной безопасности компании позволяет, для автоматического добавления серверного сертификата СД при первом под- ключении к данному серверу установите отметку в поле "Запрашивать до- бавление других серверных сертификатов". Внимание! Для корректной работы "Континент-АП" необходимо заранее выполнить импорт из- дателя (корневого сертификата) сертификата сервера. 4. Для организации проверки подлинности сертификата по CRL установите фла- жок "Проверять сертификаты по CRL". Внимание! Отключение проверки сертификатов по CRL понижает уровень безопасности. Так- же при выключении данной настройки ранее отозванные сертификаты вновь будут считаться действительными. 5. Для настройки периода автоматического обновления сертификата CRL уста- новите флажок "Скачивать CRL автоматически" и укажите нужный период в соответствующем поле. 6. Выберите режим отображения ПО после запуска. 7. Для автоматического подключения с профилем по умолчанию после старта системы установите отметку в соответствующее поле. Для ручного выбора профиля подключения снимите отметку. 8. Для настройки автоматического разрыва соединения после выхода из "Кон- тинент-АП" установите отметку в соответствующем поле (по умолчанию оп- ция не активирована). Внешний прокси Внимание! Данные настройки прокси-сервера будут использоваться при соединении с СД и при он- лайн-регистрации. Для настройки подключения к интернету через внешний прокси-сер- вер: 1. Выберите в меню настроек пункт "Внешний прокси". В области отображения информации основного окна отобразится со- ответствующий список настроек. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 39 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации 2. Установите отметку в поле "Использовать внешний прокси-сервер". 3. В поле "Адрес" введите IP-адрес или имя прокси-сервера. В поле "Порт" — порт для подключения к прокси-серверу. 4. Выберите способ аутентификации из раскрывающегося списка. 5. При необходимости укажите имя домена, логин и пароль. 6. Для завершения настройки и применения введенных или исправленных зна- чений параметров нажмите кнопку "Сохранить". Внешний вид Для настройки вида интерфейса "Континент-АП": 1. Выберите в меню настроек пункт "Внешний вид". В области отображения информации основного окна появится со- ответствующий список настроек. 2. Выберите тему оформления. Внешний вид интерфейка "Континент-АП" и его утилит будет изменен. Просмотр событий События, связанные с работой абонентского пункта и подключениями к серверу доступа, регистрируются в журнале. Примечание. При высоком уровне безопаности (исполнение 6) только Администратор имеет право на чтение файла логов. Для просмотра событий: • С помощью любого приложения для просмотра текста откройте файл с логами /var/log/cts.log cts events Для каждого события приводятся следующие сведения: • дата и время; • категория события; • имя пользователя (только для событий, инициированных поль- зователем); • краткое описание события. Для сбора диагностической информации: 1. Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Сбор диагностической информации". Появится предложение об экспорте диагностической информации. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 40 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Примечание. Для включения в сборку файлов дампов поставьте отметку в соответствующее поле. При включении файлов дампов в экспортный файл формирование отчета занимает более про- должительное время. 2. Нажмите кнопку "Экспорт". На экране появится окно для работы с файловой системой. 3. Укажите место хранения и название файла архива и нажмите кнопку "Сохра- нить". В случае успешного сохранения файла появится соответствующее сооб- щение. Контроль целостности Контроль целостности у "Континент-АП" осуществляется: • при запуске ПО; • установлении соединения с СД; • ежедневно в 17.00 по системному времени, а также вручную, с помощью УКЦ. Для того чтобы пересчитать контрольные суммы, необходимо запустить СКЗИ "Континент-АП" в режиме администратора. Для запуска УКЦ: • Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Контроль целостности". Проверка начнется автоматически, и на экране появится основное окно ути- литы с результатом проверки и информационное сообщение о том, что про- верка КЦ выполнена. Значок означает, что файл успешно прошел проверку. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 41 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Для пересчета контрольных сумм: 1. Откройте главное меню приложений и выберите в нем, например в разделе "Сеть", "Континент-АП Контроль целостности (Режим Администратора)". На экране появится окно подтверждения прав администратора. 2. Введите пароль и нажмите кнопку "Да". Проверка КЦ начнется автоматически, и на экране появится основное окно утилиты с результатом проверки и информационное сообщение о том, что проверка КЦ выполнена. 3. В основном окне УКЦ выберите на панели инструментов пункт "Пересчитать контрольные суммы". На экране появится окно подтверждения запуска процедуры и преду- преждение о том, что эталонные значения контрольных сумм будут об- новлены. 4. Нажмите кнопку "ОК". Будет выполнен пофайловый пересчет контрольных сумм "Континент-АП". После его успешного завершения на экране появится информационное окно. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 42 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Приложение Список поддерживаемых ОС семейства Linux Операционная система Для абонентского пункта в исполнении 4: • HP ThinPro 7.1 x86_64; • Astra Linux: • Astra Linux Special Edition 8.1 "Ленинград" на платформе "Эльбрус"; • Альт: • Рабочая станция на платформе "Эльбрус" v.3 (e2k-401) и v.4 (e2k-101) Для абонентского пункта в исполнениях 4 и 5: • Astra Linux • Astra Linux Common Edition 1.9 х86_64; • Astra Linux Common Edition 1.11 "Орел" х86_64; • Astra Linux Common Edition 2.12 "Орел" х86_64; • Astra Linux Special Edition 1.5 "Смоленск" х86_64; • Astra Linux Special Edition 1.6 "Смоленск" х86_64; • CentOS: • CentOS 6.5 i386/x86_64; • CentOS 7.3.1611 x86_64; • CentOS 7.6.1810 x64; • ContinentOS 4.2 x86_64; • Debian: • Debian 7.6 wheezy i386/x86_64; • Debian 9.5 stretch i386/x64; • GosLinux 6.4 i686/x86_64; • Oracle Linux: • Oracle Linux 7.2 x86_64; • Oracle Linux 7.3 x86_64; • RHEL: • RHEL 6.5 Desktop i386/x86_64; • RHEL 6.5 Server i386/x86_64; • RHEL 6.8 Desktop i386/x86_64; • RHEL 6.8 Server i386/x86_64; • RHEL 7 Desktop x86_64; • RHEL 7 Server x86_64; • RHEL 7.6 Desktop x86_64; • RHEL 7.6 Server x86_64; • ROSA Enterprise Desktop X3 i586/x86_64; • SUSE Linux Enterprise 15 x86_64; • Ubuntu: • Ubuntu 14.04 LTS Desktop i386/x86_64; • Ubuntu 14.04 LTS Server i386/x86_64; • Ubuntu 18.04 LTS Desktop x86_64; • Ubuntu 18.04 LTS Server x86_64; • Альт Линукс СПТ 7.0 i586/x86_64; • Альт: • Альт 8 СП i586/x86_64; • Альт Рабочая станция 8.1 i586/x86_64; • РЕД ОС 7.1 МУРОМ x64 © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 43 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Операционная система Для абонентского пункта в исполнении 6: • Astra Linux: • Astra Linux Special Edition 1.5 (версия ядра 4.2.0- 23) х86_64; • Astra Linux Special Edition 1.6 (версия ядра 4.15.3) х86_64; • Astra Linux Common Edition 2.12 (версия ядра 4.15.3) х86_64; • Альт 8 СП (версия ядра 4.4.86-std-def-alt0.M80C.1) i586/x86_64; • Альт Рабочая станция 8.1 (версия ядра 4.4.110- alt0.M80C.1) i586/x86_64; • CentOS: • CentOS 7.3.1611 (версия ядра 3.10.0- 693.11.6.el7) х86_64; • CentOS 7.6.1810 (версия ядра 3.10.0-957.el7) х86_64; • ContinentOS 4.2 (версия ядра 3.10.0-862.el7) х86_64; • Debian 9.5 stretch (версия ядра 4.9.0-7-amd64 #1 SMP Debian 4.9.110-1) i386/x6; • RHEL: • RHEL 6.8 (версия ядра 2.6.32-642.13.1.el6x86_ 64) х86_64; • RHEL 7.5 (версия ядра 3.10.0-862.el7.x86_64) х86_64 ОС Astra Linux SE 1.6. Особенности установки и настройки работы "Континент-АП" Корректная установка и работа "Континент-АП" на компьютер, где используется ОС Астра 1.6 SE с настроенными доступными пользователю ненулевыми мандат- ными метками, требует некоторых дополнительных операций. Для корректрой установке и дальнейшей работы: 1. Зайдите пользователем с нулевым уровнем конфиденциальности и высоким уровне целостности. 2. Установите "Континент-АП". Не перезагружайте компьютер. 3. Под root запустите скрипт /usr/share/cts/install/adapt_to_parsec. 4. Выдайте пользователю с ненулевым уровнем конфиденциальности раз- решение PARSEC_CAP_PRIV_SOCK. Внимание! Рекомендуем делать это через графический конфигуратор, вызвав из главного ме- ню "Панель управления → Безопасность → Политика безопасности → Пользователи → <Имя пользователя> → Вкладка "Привилегии" и установив в колонке Parsec галочку в поле parsec_ cap_priv_sock. Если этого не сделать, вход пользователя с ненулевым уровнем конфиденциальности после выполнения вышеупомянутого скрипта будет невозможен. "Континент-АП" также работать не будет. 5. Перезагрузите компьютер. 6. Войдите в систему, используя учетные данные пользователя и те настройки безопасности, которые планируются для данного пользователя при работе с абонентским пунктом, и добавьте необходимые профили в АП. Пояснение.Это ограничение обусловлено особенностями реализации мандатного доступа в ОС: домашний каталог для одного и того же пользователя с разными настройками безопасности располагается в разных местах на жестком диске. 7. Если для создания профиля на СД требуется создание запроса на машине пользователя, создайте его также войдя с нужными настройками безо- пасности (мандатными метками). © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 44 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Права пользователей и администраторов Ниже приведены функции абонентского пункта, доступные пользователям в за- висимости от их роли. Пользователи с правами администратора имеют возмож- ность изменять все настройки абонентского пукта. Обычные пользователи имеют ряд ограничений, указанных в таблице ниже. Функция АП КС1 КС2 КС3 Примечание Профили: добавления + + - Профили: импорт + + + При импорте профиля доступен импорт всех сер- тификатов. Вручную можно импортировать только сертификат пользователя Профили: редактирование + + - Профили: Удаление + + - Запрос на сертификат + + + Сертификаты пользовательские: импорт + + + Сертификаты пользовательские: удаление + + - Сертификаты серверные: импорт + + - Для КС3 запрещено добав- ление серверного серти- фиката при подключении. Необходим корневой сертификат. Сертификаты серверные: удаление + + - Сертификаты корневые: импорт + + - Сертификаты корневые: удаление + + - CDP: добавление + + - CDP: редактирование + + - CDP: удаление + + - CRL: импорт + + - Настройки сертификатов - - - Настройки CRL - - - Для КС2- КС3 запрещено отключение проверки по CRL Режим запуска + + - Внешний прокси + + - © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 45 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Управление абонентским пунктом из командной строки В данном разделе приведено описание специализированной утилиты cts , расположенной в каталоге /usr/share/cts/bin, используемой для управления абонентским пунктом. В этом каталоге содержатся все исполняемые файлы "Континент-АП". Утилита используется при выполнении следующих функций: • подключение к СД; • создание запросов на сертификат с сохранением закрытого ключа на раз- личные ключевые носители; • работа с корневым сертификатом; • импорт профиля; • управление профилем пользователя; • работа с сертификатами пользователя; • работа с серверными сертификатами; • работа с CRL и CDP; • просмотр информации о профилях, сертификатах и СД; • просмотр журнала; • просмотр сведений о программе. Также в консольном режиме используются следующие утилит: • autoctsiс; • cts – управление "Континент-АП"; • ctsic – утилита для контроля и расчета КЦ; • ctsreg – утилита регистрации. Для вызова командной строки (на примере ОС Astra Linux Special Edition 1.6 "Смоленск" х64): • Выберите в меню "Приложения" пункт "Системные | Терминал Fly". На экране появится окно консоли. © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 46 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Формат вызова утилиты: cts команда [-параметр 1] [-параметр 2]... [-параметр n] Для каждой команды имеется свой уникальный набор параметров. В квадратных скобках указываются опциональные параметры. Для ознакомления с полным перечнем команд и их параметров следует вызвать встроенную справку утилиты командой: cts --help Ниже описаны некоторые команды и особенности их выполнения. Команда Описание add cdp Добавление CDP add cert Добавление сертификата или CRL add connection Добавление подключения к СД в существующий профиль пользователя add profile Создание профиля пользователя configure proxy Настройка прокси-соединения configure settings Изменение настроек "Континент-АП" connect Подключение к СД del cert Удаление сертификатов и CRL del connection Удаление существующего подключения в профиле пользователя del profile Удаление профиля пользователя disconnect Отключение от СД events Просмотр журнала событий import profile Импорт конфигурационного файла профиля пользователя import Импорт закрытого ключа modify connection Редактирование подключения в профиле пользователя modify profile Редактирование профиля пользователя request Создание запроса на сертификат setparam Настройка профиля по умолчанию © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 47 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда Описание show all Просмотр всей информации о профилях show cert Просмотр информации о сертификатах show profile Просмотр списка профилей show settings Вывод на экран текущих настроек работы "Континент-АП" или настроек прокси-сервера show stats Просмотр информации о подключениях update crl Ручной запуск обновления CRL update keypass Смена пароля ключевого контейнера сертификата пользователя version Просмотр версии Linux АП Команда add cdp Команда предназначена для добавления СDP. Внимание! Для использования этой команды в исполнении 6 (КС3)- пользователь должен обладать правами администратора. Параметры Описание Обязательные -url URL-адрес CDP Пример использования: cts add cdp http://172.17.7.27/certnroll/new.crl Добавление CDP для скачивания CRL Команда add cert Команда предназначена для добавления сертификатов безопасности. Внимание! Для использования этой команды пользователь должен обладать правами администратора. Параметры Описание Обязательные -cert_path Путь и название сертификата -cert_type {user | ca | as | crl} Тип сертификата: пользователя / серверный / корневой / crl Пример использования: cts add cert -cert_type ca -cert_path /home/user/root.cer Добавление корневого сертификата из каталога /home/user/root.cer Команда add connection Команда предназначена для добавления подключения к СД в существующем про- филе пользователя. Параметры Описание Обязательные © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 48 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Параметры Описание -profile Имя профиля -name Имя подключения -server Имя или IP-адрес сервера Опциональные -tcp_port Порт TCP -udp_port Порт UDP -user Имя пользователя Пример использования: cts add connection-profile TR06-name conn_2-server 192.168.0.20-conn_type tcp- tcp_port 443 Добавление в существующий профиль TR06 подключения к СД по адресу 192.168.0.20 по TCP порту 443 Команда add profile Команда предназначена для создания профиля подключения. Параметры Описание Обязательные -name Имя профиля -server Имя или IP-адрес сервера Опциональные -cert_path Путь и название сертификата -user_login Логин пользователя на СД -auth_type { login | cert } Тип аутентификации: по логину / по сер- тификату -user Имя пользователя -sp Порт на СД © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" |