Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены
![]()
|
49 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Пример использования: cts add profile -name TR07 - server 192.168.10.10-cert_ path /home/user/user.cer - userUser2 -auth_type cert - ras_version 3 Создание профиля подключения для пользователя User2 к серверу 192.168.10.10 под профилем TR07 по указанному сертификату. Тип аутентификации выбран по сертификату и версия протокола СД - 3. Если при подключении имя пользователя должно вводиться в формате domain\user, необходимо использовать следующий синтаксис: domain\\user Команда configure proxy Команда предназначена для настройки прокси-соединения. Параметры Описание Опциональные -proxy_addr Адрес прокси-сервера -proxy_port Порт прокси-сервера -proxy_auth {no|basic|ntlm} Тип аутентификации на прокси-сервере: без аутентификации / basic / NTLM -proxy_domain Домен прокси сервера для NTLM- аутентификации -proxy_login Логин на прокси-сервере -proxy_pass Пароль от логина на прокси-сервере Пример использования: cts configure proxy -use_proxy on -proxy_addr 192.168.0.25 - proxy_port 3128 -proxy_auth basic -proxy_login user - proxy_pass 12345678 Настройка на использование прокси-сервера по адресу 192.168.0.25 и порту 3128 с типом аутентификации basic. Логин задан user, пароль - 12345678 Команда configure settings Комада предназначена для изменения настроек "Континент-АП". Параметры Описание Опциональные -cert_exp_warn_days {1-30} Предупреждать об истечении срока действия пользовательских сертификатов за 1–30 дней -allow_srv_cert_add {on|off} Запрашивать добавление других серверных сертификатов -check_cert_on_crl {on|off} Проверять сертификаты по CRL -crl_extra_days {0-30} Разрешить работу системы после истечения срока действия CRL в течение 0–30 дней -crl_auto_update {on|off} Скачивать CRL автоматически -crl_update_period {1-72} Период скачивания CRL Пример использования: cts configure settings -check_ cert_on_crl off Настройка отключает проверку сертификатов по CRL © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 50 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда connect Команда предназначена для подключения к СД. Параметры Описание Опциональные auto Подключение к СД с использованием профиля по умолчанию -pass Пароль профиля подключения -profile Имя профиля подключения Пример использования: cts connect -profile TR07 -pass 5$rt2t Подключение к серверу доступа под профилем TR07 и указанным паролем. Команда del cert Команда предназначена для удаления сертификатов безопасности. Внимание! Для использования этой команды в исполнении 6 (КС3)- пользователь должен обладать правами администратора. Параметры Описание Обязательные -cert_type {user | ca | as | crl} Тип сертификата: пользователя / серверный / корневой / crl Опциональные -issuer_cn Имя издателя сертификата -issuer_o Организация, выдавшая сертификат -subject_cn Имя владельца сертификата -subject_o Организация, для которой выдан сертификат Внимание! Как минимум один из дополнительных параметров является обя- зательным. Пример использования: cts del cert -cert_type ca - subject_cn RootSC Удаление корневого сертификата с именем владельца RootSC © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 51 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда del connection Команда предназначена для удаления существующего подключения к СД в про- филе. Параметры Описание Обязательные -profile Имя профиля -name Имя подключения Опциональные -user Имя пользователя Пример использования: cts del connection-profile TR06 -name conn_2 Удаление существующего подключения conn_2 в профиле TR06 Команда del profile Команда предназначена для удаления профиля пользователя. Параметры Описание Обязательные -name Имя профиля подключения Опциональные -user Имя пользователя Пример использования: cts del profile-name TR07 Удаление профиля TR07 Команда disconnect Команда предназначена для отключения от СД. Параметры Описание Опциональные -profile Имя профиля подключения -server Имя или IP-адрес сервера Пример использования: cts disconnect Разрыв активного соединения с СД © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 52 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда events Команда предназначена для просмотра журнала событий. Параметры Описание Опциональные -cat [INFO], [ERROR], [DEBUG] Выбор категории событий -from dd.mm.yyyy:hh:mm:ss Начальные время и дата события при фильтрации событий -to dd.mm.yyyy:hh:mm:ss Конечные время и дата события при фильтрации событий -user Имя пользователя Пример использования: cts events -cat ERROR -from 04.07.2016:00:00:00 -user AdministratorGTC Просмотр списка зафиксированных в журнале сообщений о ошибках, произошедших в период с начала 4 июля 2016 года по текущий момент для всех профилей подключений пользователя AdministratorGTC Команда import profile Команда предназначена для импорта конфигурационного файла профиля. В хо- де выполнения команды будет выполнен диалоговый скрипт. Параметры Описание Обязательные -file_path Путь к файлу конфигурации профиля Опциональные -file_pass Пароль от файла конфигурации профиля -key_pass Пароль от ключевого контейнера, содержащегося в файле конфигурации профиля -ras_version { 3 | 4 } Выбор версии протокола СД Пример использования: cts import profile -file_path /home/user/profile1.ts4 -file_ pass P@ssw0rd -key_pass 123456 -ras_version 4 Импорт конфигурации профиля 4 версии с паролем P@ssw0rd и паролем закрытого ключа Команда import Команда предназначена для импорта закрытого ключа. В ходе выполнения ко- манды будет выполнен диалоговый скрипт для выбора ключевого носителя с за- крытым ключом, хранилища для импортируемого ключа и набора энтропии. Параметры Описание Обязательные -ras_version { 3 | 4(default) } Выбор версии протокола СД при использовании с этим ключевым контейнером. По умолчанию используется 4 версия Опциональные © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 53 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Параметры Описание key Параметр не обязателен. Указывает, что производится импорт ключевого контейнера Команда modify connection Команда предназначена для редактирования существующего подключения к СД в профиле пользователя. Параметры Описание Обязательные -profile Имя профиля -name Имя подключения Опциональные -server Имя или IP-адрес сервера -tcp_port Порт TCP -udp_port Порт UDP -conn_type Выбор типа подключения: TCP / UDP -user Имя пользователя Пример использования: cts modify connection -profile TR06 -name conn_2 -server 192.168.0.20 -conn_type UDP -tcp_port 4433 Редактирование существующего подключения conn_2 в профиле TR06: изменение типа подключения на UDP и порта на 4433 Команда modify profile Команда предназначена для редактирования профиля пользователя. Параметры Описание Обязательные -name Имя профиля Опциональные -server Имя или IP-адрес сервера -cert_path Путь и название сертификата -user_login Логин пользователя на СД -user_password Пароль от логина пользователя на СД -auth_type { login | cert } Тип аутентификации: по логину / по сертификату -ras_version { 3 | 4(default) Выбор версии протокола СД -user Имя пользователя -sp Порт на СД Пример использования: cts modify profile-name TR07 - user-auth_type login -user_ login tr07-user_password 123456 Редактирование профиля TR07. Изменение типа аутентификации на логин/пароль, задание логина пользователя на СД и пароля © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 54 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда request Команда предназначена для cоздания запроса на сертификат. В ходе выпол- нения команды будет выполнен диалоговый скрипт для получения данных о пользователе, набора энтропии и выбора ключевого носителя для сохранения на нем закрытого ключа. Команда setparam Команда предназначена для настройки профиля по умолчанию. Параметры Описание Опциональные -sp Порт сервера -defprof Имя профиля, устанавливаемого как профиль по умолчанию -pass Пароль профиля подключения -pin Пин-код от ключевого носителя при необхо- димости Пример использования: cts setparam -defprof LIАВА01 -pass 7r%ty437u Задание профиля LIАВА01 с указанным паролем для автоматического подключения при входе пользователя Команда show all Команда предназначена для просмотра всей информации о профилях. Параметры Описание Опциональные -user Имя пользователя Команда show cert Команда предназначена для просмотра информации о сертификатах. Параметры Описание Опциональные -cert_type {user | as | ca | crl} Тип сертификата: пользователя / серверный / корневой / crl -issuer_cn Имя издателя сертификата -issuer_o Организация, выдавшая сертификат -hide_expired Скрывать сертификаты с истекшим сроком действия -subject_cn Имя владельца сертификата -subject_o Организация, для которой выдан сертификат -user Имя пользователя Пример использования: cts show cert -issuer_o SecurityCode -hide_expired Просмотр корневых сертификатов от издателя SecurityCode, исключая истекшие © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 55 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Команда show profile Команда предназначена для просмотра списка профилей. Параметры Описание Опциональные -name Имя профиля -server Имя или IP-адрес сервера -user Имя пользователя Пример использования: cts show profile -user Admin Просмотр списка профилей пользователя Admin Команда show settings Команда предназначена для вывода на экран текущих настроек работы "Кон- тинент-АП" или настроек прокси-сервера. Параметры Описание Опциональные general | proxy Выбор отображаемых настроек: основные / прокси Пример использования: cts show settings general Вывод текущих основных настроек приложения Команда show stats Команда предназначена для просмотра информации об активном подключении. Параметры Описание Опциональные -server Имя или IP-адрес сервера -user Имя пользователя Пример использования: cts show stats -server SP30 Просмотр информации о подключениях к СД SP30 Команда update crl Команда предназначена для ручного запуска обновления CRL. Команда update keypass Команда предназначена для смены пароля ключевого контейнера сертификата пользователя. Параметры Описание Обязательные © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 56 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации Параметры Описание -profile Имя профиля Опциональные -key_pass Существующий пароль от ключевого контейнера Пример использования: cts update keypass-profile TR05-key_pass 123456 Смена пароля ключевого контейнера сертификата пользователя в профиле TR05 Команда version Команда предназначена для просмотра версии абонентского пункта. Файлы контроля целостности Просмотр списка файлов, поставленных на контроль Для просмотра списка файлов, поставленных на контроль целостности, и соответ- ствующих им контрольных сумм используется специализированная утилита ctsic, расположенная в каталоге /usr/share/cts/bin/ctsic. Для просмотра списка: • Вызовите командную строку (см. стр. 46 ) и введите команду ctsic check --print Повторное создание списка файлов, подлежащих контролю Список файлов, подлежащих контролю целостности, содержится в файле /etc/cts/filelist . В некоторых случаях, например при обновлении опе- рационной системы, включающем в себя установку новых версий библиотек, воз- никает необходимость в повторном создании списка файлов, которые должны быть поставлены на контроль. Для повторного создания списка используется специализированная утилита autoctsic, расположенная в каталоге /usr/share/cts/bin. Внимание! Запустить утилиту может только пользователь с правами админи- стратора. Для создания списка: • Вызовите командную строку (см. стр. 46 ) и введите команду autoctsic Перерасчет контрольных сумм Для перерасчета контрольных сумм необходимо выполнить следующее: 1. Повторно создать список файлов, подлежащих контролю целостности (см. стр. 57 ). 2. Рассчитать новые контрольные суммы для файлов, содержащихся в повторно созданном списке. Для этого вызовите командную строку и введите команду: ctsic compute Внимание! Для абонентского пункта среднего или высокого уровня безо- пасности после выполнения приведенных выше операций необходимо повторно настроить механизм контроля целостности в ПАК "Соболь". © КО МПА НИЯ "КО Д Б Е ЗО ПА СНО СТИ" 57 СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6) Руководство по эксплуатации |