Примечание. Если предполагается установка дистрибутива ключей на маломощное устройство, для файла дистрибутива ключей должны выполняться следующие ограничения:
Максимальный размер файла
*.dst
— 5 Мбайт.
Максимальное количество туннелей — 3000.
Максимальное количество связей с узлами — 500.
Способы аутентификации в программе
ViPNet Client 4U for Linux
Программа ViPNet Client 4U for Linux поддерживает два способа аутентификации пользователей:
Пароль — однофакторная аутентификация, пользователь вводит только пароль.
Персональный ключ на внешнем устройстве (токене) — двухфакторная аутентификация, пользователь подключает к компьютеру внешнее устройство с персональным ключом и вводит ПИН-код.
Способ аутентификации выбирает администратор сети ViPNet при создании дистрибутива ключей.
Подробнее см. документ «ViPNet Client 4U for Linux. Руководство администратора», раздел
«Порядок установки программы ViPNet Client 4U for Linux».
Если выбран второй способ аутентификации, то администратор сети ViPNet записывает персональный ключ пользователя на внешнее устройство и задает ПИН-код для него во время создания дистрибутива ключей. Затем администратор сети ViPNet передает пользователю файл дистрибутива ключей (
*.dst
), внешнее устройство с персональным ключом и ПИН-код к нему.
Подключать к компьютеру внешнее устройство с персональным ключом и вводить ПИН-код к нему в программе ViPNet Client 4U for Linux потребуется при установке ключей, а также при каждом подключении к сети ViPNet (при этом вводить ПИН-код потребуется, если вы обладаете минимальным уровнем полномочий). Без аутентификации по персональному ключу на внешнем устройстве работа в сети ViPNet будет невозможна.
ViPNet Client 4U for Linux. Руководство пользователя |
14
Также в процессе работы с программой ViPNet Client 4U for Linux вы можете самостоятельно сменить способ аутентификации на аутентификацию по персональному ключу на внешнем устройстве (см.
Смена способа аутентификации на стр. 20).
ViPNet Client 4U for Linux. Руководство пользователя |
15
Работа с программой ViPNet
Client 4U for Linux в командной строке
Установка ключей
Чтобы установить ключи ViPNet на компьютер с программой ViPNet Client 4U for Linux, выполните следующие действия:
1Если в программе ViPNet Client 4U for Linux будет использоваться аутентификация пользователя по персональному ключу на внешнем устройстве (см.
Способы аутентификации в программе ViPNet Client 4U for Linux на стр. 13), подключите внешнее устройство к компьютеру.
2Войдите в консоль ОС Linux с правами пользователя.
3Выполните команду: user@host:$ vipnetclient installkeys
<путь_к_дистрибутиву_ключей> [
--pin
<ПИН
- код>]
[--psw
<пароль_от_дистрибутива_ключей>] [
--token-select
<часть_названия>]
[--no-failprotect] [--no-autostart] [--no-start]
где: o
--pin
— параметр для указания ПИН-кода от внешнего устройства с персональным ключом пользователя (если используется соответствующий способ аутентификации).
Чтобы снизить риск компрометации ПИН-кода, применять параметр
--pin не рекомендуется, так как при этом ПИН-код отображается в консоли в явном виде. Вводите
ПИН-код по запросу во время выполнения команды. o
--psw
— параметр для указания пароля от дистрибутива ключей. Чтобы снизить риск компрометации пароля, применять параметр
--psw не рекомендуется, так как при этом пароль отображается в консоли в явном виде. Вводите пароль по запросу во время выполнения команды.
Примечание. При использовании аутентификации пользователя по персональному ключу на внешнем устройстве пароль от дистрибутива ключей потребуется ввести, если администратор сети ViPNet назначил вам максимальный или средний уровень полномочий. Если вы обладаете минимальным уровнем полномочий, вводить пароль при установке ключей не потребуется. o
--token-select
— параметр для поиска (по любой части названия) и
выбора внешнего устройства, если используется соответствующий способ аутентификации и к компьютеру
ViPNet Client 4U for Linux. Руководство пользователя |
16 подключено несколько внешних устройств. Если конкретное внешнее устройство не
будет указано с помощью этого параметра, в консоли отобразится список подключенных внешних устройств и предложение выбрать одно из них. o
--no-failprotect
— параметр для отключения ежеминутной проверки работоспособности программы ViPNet Client 4U for Linux и ее автоматического запуска в случае нештатного завершения работы. Для более надежной работы программы ViPNet
Client 4U for Linux применять данный параметр не рекомендуется. o
--no-autostart
— параметр для отключения автоматического запуска программы ViPNet
Client 4U for Linux и подключения к сети ViPNet после авторизации пользователя в ОС. Для более надежной работы программы ViPNet Client 4U for Linux применять данный параметр не рекомендуется.
Примечание. Автоматический запуск программы и подключение к сети ViPNet после авторизации пользователя в ОС также не выполняются, если пользователь обладает минимальными полномочиями в программе ViPNet Client 4U for Linux и если используется аутентификация пользователя по персональному ключу на внешнем устройстве. o
--no-start
— параметр для отключения автоматического подключения к сети ViPNet после установки ключей.
4Если не был указан параметр
--token-select или по результатам поиска найдено несколько внешних устройств, введите номер нужного внешнего устройства и нажмите клавишу
Enter.
5Если ПИН-код не был указан в команде, при появлении соответствующего запроса введите
ПИН-код от внешнего устройства и нажмите клавишу
Enter.
6Если пароль не был указан в команде, при появлении соответствующего запроса введите пароль от дистрибутива ключей и нажмите клавишу
Enter.
7Подождите, пока ключи будут установлены. Выполнение команды может занять некоторое время.
ViPNet Client 4U for Linux. Руководство пользователя |
17
Рисунок 2. Установка дистрибутива ключей при аутентификации с помощью внешнего устройства Примечание. Если в файле дистрибутива ключей будут выявлены ошибки или этот файл не будет удовлетворять требованиям к дистрибутиву ключей для программы ViPNet Client
4U for Linux, появится сообщение с информацией об этом. Обратитесь к администратору сети ViPNet для устранения причины ошибок, а затем установите новый дистрибутив ключей.
В результате ключи будут установлены в рабочий каталог ViPNet. После установки ключей подключение к сети ViPNet будет выполнено автоматически. Если при установке ключей был указан параметр
--no-start или используется аутентификация пользователя по
персональному ключу на внешнем устройстве, включите VPN-соединение вручную (см.
Запуск и завершение работы на стр. 18).
Обновление ключей
Обновление ключей на узле необходимо, если была изменена структура сети ViPNet или свойства сетевых узлов, а также в случае смены мастер-ключей
(см. глоссарий, стр. 42). Администратор сети
ViPNet создает новые ключи и централизованно отправляет их на узлы, где они будут приняты и установлены автоматически, без участия пользователя.
ViPNet Client 4U for Linux. Руководство пользователя |
18
Если новые ключи по каким-либо причинам не могут быть переданы по сети, вы можете обновить их вручную. Также обновления ключей может потребоваться устанавливать вручную, если произошла смена мастер-ключей в сети. Для этого выполните следующие действия:
1Удалите ключи, установленные на компьютере (см.
Удаление ключей на стр. 18).
2Установите новые ключи (см.
Установка ключей на стр. 15).
Ключи
будут обновлены, и вы сможете продолжить работу в сети ViPNet.
Удаление ключей
При необходимости вы можете удалить ключи, установленные на компьютере. Это может понадобиться, например, при обновлении ключей (см.
Обновление ключей на стр. 28) или в случае передачи компьютера для работы другому пользователю ViPNet.
Чтобы удалить установленные на компьютере ключи, выполните следующие действия:
1Войдите в консоль ОС Linux с правами пользователя.
2Если включено VPN-соединение, выключите его с помощью команды: user@host:$ vipnetclient stop
3Удалите ключи с помощью команды: user@host:$ vipnetclient deletekeys
4При появлении запроса подтвердить удаление ключей введите символ
Y
и нажмите клавишу
Enter.
Запуск и завершение работы
Запуск всех компонентов программы ViPNet Client 4U for Linux и подключение к сети ViPNet выполняются автоматически после установки ключей и при каждой авторизации в операционной системе пользователя, выполнившего установку ключей.
Автоматический запуск программы и подключение к сети ViPNet после авторизации пользователя в ОС не выполняются в следующих случаях:
Если пользователь ViPNet обладает минимальными полномочиями.
Если используется аутентификация пользователя ViPNet по персональному ключу на внешнем устройстве (см.
Способы аутентификации в программе ViPNet Client 4U for Linux на стр. 13) и внешнее устройство не подключено к компьютеру.
Если при установке ключей был указан параметр
--no-autostart
Чтобы запустить программу ViPNet Client 4U for Linux и включить VPN-соединение вручную:
1Если в программе ViPNet Client 4U for Linux используется аутентификация пользователя по персональному ключу на внешнем устройстве, подключите внешнее устройство к компьютеру.
ViPNet Client 4U for Linux. Руководство пользователя |
19
2
Войдите в консоль ОС Linux с правами пользователя.
3
Выполните команду: user@host:$ vipnetclient start {[--pin
<ПИН
- код>] | [
--psw
<пароль_от_дистрибутива_ключей>]} [
--no-failprotect]
где: o
--pin
— параметр для указания ПИН-кода от внешнего устройства с персональным ключом пользователя (если используется соответствующий способ аутентификации).
ПИН-код требуется вводить только при минимальном уровне полномочий пользователя.
Чтобы снизить риск компрометации ПИН-кода, применять параметр
--pin не рекомендуется, так как при этом ПИН-код отображается в консоли в явном виде. Вводите
ПИН-код по запросу во время выполнения команды. o
--psw
— параметр для указания пароля от дистрибутива ключей (если используется аутентификация пользователя по паролю). Пароль требуется вводить только при минимальном уровне полномочий пользователя. Чтобы снизить риск компрометации пароля, применять параметр
--psw не рекомендуется, так как при этом пароль отображается в консоли в явном виде. Вводите пароль по запросу во время выполнения команды. o
--no-failprotect
— параметр для отключения ежеминутной проверки работоспособности программы ViPNet Client 4U for Linux и ее автоматического запуска в случае нештатного завершения работы. Для более надежной работы программы ViPNet
Client 4U for Linux применять данный параметр не рекомендуется.
4
Если вы обладаете минимальными полномочиями в программе ViPNet Client 4U for Linux, появится сообщение с запросом ввести ПИН-код от внешнего устройства или пароль от дистрибутива ключей (в зависимости от используемого способа аутентификации). Введите
ПИН-код или пароль и нажмите клавишу Enter.
5
Подождите, пока VPN-соединение будет включено. Выполнение команды может занять некоторое время.
Чтобы остановить программу ViPNet Client 4U for Linux и выключить VPN-соединение, выполните команду: user@host:$ vipnetclient stop
Если используется аутентификация пользователя по персональному ключу на внешнем устройстве, то при отключении внешнего устройства от компьютера VPN-соединение будет автоматически выключено.
Проверка связи с координатором
При включении защищенного соединения с сетью ViPNet (см.
Запуск и завершение работы на стр. 18) программой ViPNet Client 4U for Linux автоматически будет проверена связь с координатором, являющимся сервером соединений
(см. глоссарий, стр. 42) для данного клиента.
Если координатор доступен, то защищенное соединение с сетью ViPNet считается установленным.
ViPNet Client 4U for Linux. Руководство пользователя |
20
Если же координатор недоступен, взаимодействие с другими узлами сети ViPNet будет невозможно.
Также вы можете проверить связь с координатором вручную. Например, если прервалась связь с какими-либо ресурсами защищенной сети, и вы хотите проверить подключение к сети ViPNet.
Чтобы проверить связь с координатором:
1
Войдите в консоль ОС Linux с правами пользователя.
2
Выполните команду: user@host:$ vipnetclient debug --ping
3
Дождитесь результата выполнения команды.
Если связь с координатором отсутствует, повторите попытку через некоторое время.
Примечание. Также вы можете проверить связь с другими узлами с помощью команды: user@host:$ vipnetclient debug --ping
<идентификатор_узла_
ViPNet>
Смена способа аутентификации
В программе ViPNet Client 4U for Linux вы можете сменить способ аутентификации (см.
Способы аутентификации в программе ViPNet Client 4U for Linux на стр. 13) — с аутентификации по паролю на аутентификацию по персональному ключу на внешнем устройстве. Для этого:
1
Подключите внешнее устройство к компьютеру.
2
Войдите в консоль ОС Linux с правами пользователя.
3
В консоли выполните команду:
$ vipnetclient debug --change-logon-type [-- pin <ПИН
- код>] [
--token-select
<часть_названия>]
где:
--pin
— параметр для задания ПИН-кода для внешнего устройства, на которое будет записан персональный ключ пользователя. Чтобы снизить риск компрометации ПИН-кода, применять параметр
--pin не рекомендуется, так как при этом ПИН-код отображается в консоли в явном виде. Вводите ПИН-код по запросу во время выполнения команды.
--token-select
— параметр для поиска (по любой части названия) и выбора внешнего устройства, если к компьютеру подключено несколько внешних устройств. Если конкретное внешнее устройство не будет указано с помощью этого параметра, в консоли отобразится список подключенных внешних устройств и предложение выбрать одно из них.
4
Если не был указан параметр
--token-select или по результатам поиска найдено несколько внешних устройств, введите номер нужного внешнего устройства и нажмите клавишу Enter.
5
Если ПИН-код не был указан в команде, при появлении соответствующего запроса введите
ПИН-код для внешнего устройства и нажмите клавишу Enter.
ViPNet Client 4U for Linux. Руководство пользователя |
21
6
Подождите, пока персональный ключ будет записан на внешнее устройство. При извлечении внешнего устройства до завершения операции способ аутентификации не будет изменен.
Рисунок 3. Способ аутентификации успешно изменен
Просмотр списка защищенных узлов
Вы можете просмотреть, с какими другими защищенными узлами сети ViPNet (клиентами и координаторами) связан ваш узел. Для этого выполните следующие действия:
1
Войдите в консоль ОС Linux с правами пользователя.
2
Выполните команду: user@host:$ vipnetclient list --nodes
В консоли отобразится список защищенных узлов, с которыми ваш узел может взаимодействовать в рамках сети ViPNet. В этом списке типы узлов отмечены как client
(клиент) и server
(координатор). Координатор, являющийся сервером IP-адресов, отмечен в списке символом
*
Рисунок 4. Просмотр списка защищенных узлов
ViPNet Client 4U for Linux. Руководство пользователя |
22
3
Чтобы просмотреть подробную информацию об узле из списка, выполните команду: user@host:$ vipnetclient iplirdiag -s ipsettings --node- info <идентификатор_узла>
Внимание! Данная команда выполняется только при включенном VPN-соединении
(см.
Запуск и завершение работы на стр. 18).
В консоли отобразится подробная информация об узле (идентификатор и имя узла, его
IP-адрес видимости и другая информация). Для координаторов отображаются также туннелируемые ими IP-адреса открытых узлов.
Рисунок 5. Просмотр информации о защищенном узле
Просмотр информации о своем узле и версии программы ViPNet Client 4U for
Linux
Вы можете просмотреть информацию о своем сетевом узле ViPNet и версию программы ViPNet
Client 4U for Linux, установленную на компьютере. Для этого выполните следующие действия:
1
Войдите в консоль ОС Linux с правами пользователя.
ViPNet Client 4U for Linux. Руководство пользователя |
23
2
Выполните команду: user@host:$ vipnetclient info
В результате отобразится версия программы ViPNet Client 4U for Linux и информация о вашем сетевом узле (его имя и идентификатор, информация о сети ViPNet и о лицензии, ваш уровень полномочий в программе ViPNet Client 4U for Linux, идентификаторы ролей узла, уровень журналирования событий и другие параметры работы программы ViPNet Client 4U for Linux).
Примечание. Информацию о версии программы ViPNet Client 4U for Linux вы также можете просмотреть с помощью команды: user@host:$ vipnetclient --version
Рисунок 6. Просмотр информации о своем узле и версии программы ViPNet Client 4U for Linux
Примечание. Если в строке
DNS status отображается статус, отличный от on
, следуйте указаниям раздела «Нарушена работа программы ViPNet Client 4U for Linux с DNS» в документе «ViPNet Client 4U for Linux. Руководство администратора».
Если разница во времени на клиенте с программой ViPNet Client 4U for Linux и координаторе, который является сервером соединений, больше разрешенной на координаторе, взаимодействие между ними невозможно. В этом случае при выполнении команды vipnetclient info отобразится сообщение о разнице во времени и рекомендация перевести часы на компьютере.
ViPNet Client 4U for Linux. Руководство пользователя |
24
Обращение в службу технической поддержки
В случае возникновения ошибок в работе программы ViPNet Client 4U for Linux вы можете обратиться в ИнфоТеКС. Для этого выполните следующие действия:
Скачать 0.49 Mb.