Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены

49
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Пример использования:
cts add profile -name TR07 - server 192.168.10.10-cert_
path
/home/user/user.cer - userUser2 -auth_type cert - ras_version 3
Создание профиля подключения для пользователя
User2 к серверу 192.168.10.10 под профилем TR07 по указанному сертификату. Тип аутентификации выбран по сертификату и версия протокола СД - 3. Если при подключении имя пользователя должно вводиться в формате domain\user, необходимо использовать следующий синтаксис: domain\\user
Команда configure proxy
Команда предназначена для настройки прокси-соединения.
Параметры
Описание
Опциональные
-proxy_addr
Адрес прокси-сервера
-proxy_port
Порт прокси-сервера
-proxy_auth {no|basic|ntlm}
Тип аутентификации на прокси-сервере: без аутентификации / basic / NTLM
-proxy_domain
Домен прокси сервера для NTLM- аутентификации
-proxy_login
Логин на прокси-сервере
-proxy_pass
Пароль от логина на прокси-сервере
Пример использования:
cts configure proxy -use_proxy on -proxy_addr 192.168.0.25 - proxy_port 3128 -proxy_auth basic -proxy_login user - proxy_pass 12345678
Настройка на использование прокси-сервера по адресу
192.168.0.25 и порту 3128 с типом аутентификации basic. Логин задан user, пароль - 12345678
Команда configure settings
Комада предназначена для изменения настроек "Континент-АП".
Параметры
Описание
Опциональные
-cert_exp_warn_days {1-30}
Предупреждать об истечении срока действия пользовательских сертификатов за 1–30 дней
-allow_srv_cert_add {on|off}
Запрашивать добавление других серверных сертификатов
-check_cert_on_crl {on|off}
Проверять сертификаты по CRL
-crl_extra_days {0-30}
Разрешить работу системы после истечения срока действия CRL в течение 0–30 дней
-crl_auto_update {on|off}
Скачивать CRL автоматически
-crl_update_period {1-72}
Период скачивания CRL
Пример использования:
cts configure settings -check_
cert_on_crl off
Настройка отключает проверку сертификатов по CRL
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
50
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда connect
Команда предназначена для подключения к СД.
Параметры
Описание
Опциональные
auto
Подключение к СД с использованием профиля по умолчанию
-pass
Пароль профиля подключения
-profile
Имя профиля подключения
Пример использования:
cts connect -profile TR07
-pass 5$rt2t
Подключение к серверу доступа под профилем TR07 и указанным паролем.
Команда del cert
Команда предназначена для удаления сертификатов безопасности.
Внимание!
Для использования этой команды в исполнении
6
(КС3)- пользователь должен обладать правами администратора.
Параметры
Описание
Обязательные
-cert_type {user | ca | as | crl}
Тип сертификата: пользователя / серверный /
корневой / crl
Опциональные
-issuer_cn
Имя издателя сертификата
-issuer_o
Организация, выдавшая сертификат
-subject_cn
Имя владельца сертификата
-subject_o
Организация, для которой выдан сертификат
Внимание! Как минимум один из дополнительных параметров является обя- зательным.
Пример использования:
cts del cert -cert_type ca - subject_cn RootSC
Удаление корневого сертификата с именем владельца
RootSC
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
51
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда del connection
Команда предназначена для удаления существующего подключения к СД в про- филе.
Параметры
Описание
Обязательные
-profile
Имя профиля
-name
Имя подключения
Опциональные
-user
Имя пользователя
Пример использования:
cts del connection-profile TR06
-name conn_2
Удаление существующего подключения conn_2 в профиле TR06
Команда del profile
Команда предназначена для удаления профиля пользователя.
Параметры
Описание
Обязательные
-name
Имя профиля подключения
Опциональные
-user
Имя пользователя
Пример использования:
cts del profile-name TR07
Удаление профиля TR07
Команда disconnect
Команда предназначена для отключения от СД.
Параметры
Описание
Опциональные
-profile
Имя профиля подключения
-server
Имя или IP-адрес сервера
Пример использования:
cts disconnect
Разрыв активного соединения с СД
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
52
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда events
Команда предназначена для просмотра журнала событий.
Параметры
Описание
Опциональные
-cat [INFO], [ERROR], [DEBUG]
Выбор категории событий
-from dd.mm.yyyy:hh:mm:ss
Начальные время и дата события при фильтрации событий
-to dd.mm.yyyy:hh:mm:ss
Конечные время и дата события при фильтрации событий
-user
Имя пользователя
Пример использования:
cts events -cat ERROR -from
04.07.2016:00:00:00 -user
AdministratorGTC
Просмотр списка зафиксированных в журнале сообщений о ошибках, произошедших в период с начала
4 июля 2016 года по текущий момент для всех профилей подключений пользователя AdministratorGTC
Команда import profile
Команда предназначена для импорта конфигурационного файла профиля. В хо- де выполнения команды будет выполнен диалоговый скрипт.
Параметры
Описание
Обязательные
-file_path
Путь к файлу конфигурации профиля
Опциональные
-file_pass
Пароль от файла конфигурации профиля
-key_pass
Пароль от ключевого контейнера,
содержащегося в файле конфигурации профиля
-ras_version { 3 | 4 }
Выбор версии протокола СД
Пример использования:
cts import profile -file_path
/home/user/profile1.ts4 -file_
pass P@ssw0rd -key_pass
123456 -ras_version 4
Импорт конфигурации профиля 4 версии с паролем
P@ssw0rd и паролем закрытого ключа
Команда import
Команда предназначена для импорта закрытого ключа. В ходе выполнения ко- манды будет выполнен диалоговый скрипт для выбора ключевого носителя с за- крытым ключом, хранилища для импортируемого ключа и набора энтропии.
Параметры
Описание
Обязательные
-ras_version { 3 | 4(default) }
Выбор версии протокола СД при использовании с этим ключевым контейнером. По умолчанию используется 4 версия
Опциональные
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
53
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Параметры
Описание
key
Параметр не обязателен. Указывает, что производится импорт ключевого контейнера
Команда modify connection
Команда предназначена для редактирования существующего подключения к СД
в профиле пользователя.
Параметры
Описание
Обязательные
-profile
Имя профиля
-name
Имя подключения
Опциональные
-server
Имя или IP-адрес сервера
-tcp_port
Порт TCP
-udp_port
Порт UDP
-conn_type
Выбор типа подключения: TCP / UDP
-user
Имя пользователя
Пример использования:
cts modify connection -profile
TR06 -name conn_2 -server
192.168.0.20 -conn_type UDP
-tcp_port 4433
Редактирование существующего подключения conn_2 в профиле TR06: изменение типа подключения на UDP и порта на 4433
Команда modify profile
Команда предназначена для редактирования профиля пользователя.
Параметры
Описание
Обязательные
-name
Имя профиля
Опциональные
-server
Имя или IP-адрес сервера
-cert_path PATH>
Путь и название сертификата
-user_login
Логин пользователя на СД
-user_password
Пароль от логина пользователя на СД
-auth_type { login | cert }
Тип аутентификации: по логину / по сертификату
-ras_version { 3 | 4(default)
Выбор версии протокола СД
-user
Имя пользователя
-sp
Порт на СД
Пример использования:
cts modify profile-name TR07 - user-auth_type login -user_
login tr07-user_password
123456
Редактирование профиля TR07. Изменение типа аутентификации на логин/пароль, задание логина пользователя на СД и пароля
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
54
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда request
Команда предназначена для cоздания запроса на сертификат. В ходе выпол- нения команды будет выполнен диалоговый скрипт для получения данных о пользователе, набора энтропии и выбора ключевого носителя для сохранения на нем закрытого ключа.
Команда setparam
Команда предназначена для настройки профиля по умолчанию.
Параметры
Описание
Опциональные
-sp
Порт сервера
-defprof
Имя профиля, устанавливаемого как профиль по умолчанию
-pass
Пароль профиля подключения
-pin
Пин-код от ключевого носителя при необхо- димости
Пример использования:
cts setparam -defprof LIАВА01
-pass 7r%ty437u
Задание профиля LIАВА01 с указанным паролем для автоматического подключения при входе пользователя
Команда show all
Команда предназначена для просмотра всей информации о профилях.
Параметры
Описание
Опциональные
-user
Имя пользователя
Команда show cert
Команда предназначена для просмотра информации о сертификатах.
Параметры
Описание
Опциональные
-cert_type {user | as | ca | crl}
Тип сертификата: пользователя / серверный /
корневой / crl
-issuer_cn
Имя издателя сертификата
-issuer_o
Организация, выдавшая сертификат
-hide_expired
Скрывать сертификаты с истекшим сроком действия
-subject_cn
Имя владельца сертификата
-subject_o
Организация, для которой выдан сертификат
-user
Имя пользователя
Пример использования:
cts show cert -issuer_o
SecurityCode -hide_expired
Просмотр корневых сертификатов от издателя
SecurityCode, исключая истекшие
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
55
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда show profile
Команда предназначена для просмотра списка профилей.
Параметры
Описание
Опциональные
-name
Имя профиля
-server
Имя или IP-адрес сервера
-user
Имя пользователя
Пример использования:
cts show profile -user Admin
Просмотр списка профилей пользователя Admin
Команда show settings
Команда предназначена для вывода на экран текущих настроек работы "Кон- тинент-АП" или настроек прокси-сервера.
Параметры
Описание
Опциональные
general | proxy
Выбор отображаемых настроек: основные /
прокси
Пример использования:
cts show settings general
Вывод текущих основных настроек приложения
Команда show stats
Команда предназначена для просмотра информации об активном подключении.
Параметры
Описание
Опциональные
-server
Имя или IP-адрес сервера
-user
Имя пользователя
Пример использования:
cts show stats -server SP30
Просмотр информации о подключениях к СД SP30
Команда update crl
Команда предназначена для ручного запуска обновления CRL.
Команда update keypass
Команда предназначена для смены пароля ключевого контейнера сертификата пользователя.
Параметры
Описание
Обязательные
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
56
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Параметры
Описание
-profile
Имя профиля
Опциональные
-key_pass
Существующий пароль от ключевого контейнера
Пример использования:
cts update keypass-profile
TR05-key_pass 123456
Смена пароля ключевого контейнера сертификата пользователя в профиле TR05
Команда version
Команда предназначена для просмотра версии абонентского пункта.
Файлы контроля целостности
Просмотр списка файлов, поставленных на контроль
Для просмотра списка файлов, поставленных на контроль целостности, и соответ- ствующих им контрольных сумм используется специализированная утилита
ctsic, расположенная в каталоге /usr/share/cts/bin/ctsic.
Для просмотра списка:
•
Вызовите командную строку (см. стр.
46
) и введите команду
ctsic check --print
Повторное создание списка файлов, подлежащих контролю
Список файлов, подлежащих контролю целостности, содержится в файле
/etc/cts/filelist . В некоторых случаях, например при обновлении опе- рационной системы, включающем в себя установку новых версий библиотек, воз- никает необходимость в повторном создании списка файлов, которые должны быть поставлены на контроль.
Для повторного создания списка используется специализированная утилита autoctsic, расположенная в каталоге /usr/share/cts/bin.
Внимание! Запустить утилиту может только пользователь с правами админи- стратора.
Для создания списка:
•
Вызовите командную строку (см. стр.
46
) и введите команду
autoctsic
Перерасчет контрольных сумм
Для перерасчета контрольных сумм необходимо выполнить следующее:
1. Повторно создать список файлов, подлежащих контролю целостности (см.
стр.
57
).
2. Рассчитать новые контрольные суммы для файлов, содержащихся в повторно созданном списке. Для этого вызовите командную строку и введите команду:
ctsic compute
Внимание! Для абонентского пункта среднего или высокого уровня безо- пасности после выполнения приведенных выше операций необходимо повторно настроить механизм контроля целостности в ПАК "Соболь".
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
57
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

1   2   3   4   5   6