Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline RomeoVar  
#1 Оставлено : 10 июня 2019 г. 9:46:23(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

Добрый день,
Не смог сам разобраться
Есть рабочая станция 8.2 (станция включена в домен) было установлено ПО для работы с ЭЦП (Установка КриптоПро CSP 5.0 версии)
Под локальным пользователем все работает на ура.
При входе под доменным пользователем войти на госуслуги не получается. Начал с ключа. Запустил cptools (GUI для работы с ЭЦП и сертификатами), а он ключа напрочь не видит.
ДОменного пользователя включил во все группы, в которые включен локальный пользователь, не помогло.

[user@pcl0001 mkimage-profiles-desktop]$ rolelst
users: cdwriter cdrom audio video proc radio camera floppy xgrp scanner uucp vboxusers fuse
localadmins: wheel
пользователи домена: fuse scanner audio radio camera video cdrom floppy cdwriter xgrp uucp vmusers users

Затем попробовал запустить утилиту "csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251"
под локальным пользователем:
Получил инфу о подключенном ключе:
Цитата:
CSP (Type:80) v5.0.10003 KC2 Release Ver:5.0.11453 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 8517251
GetProvParam(...PP_ENUMREADERS...) until it returns false
Len Byte NickName/Name
_____________________________
0x012a 0x00 CLOUD
Cloud Token
0x012a 0x03 Aktiv Rutoken lite 00 00
Aktiv Rutoken lite 00 00
0x012a 0x01 FLASH
FLASH
0x012a 0x00 HDIMAGE
HDD key storage
Cycle exit when getting data. 4 items found. Level completed without problems.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,080 sec
[ErrorCode: 0x00000000]


Затем запустил под доменным, вывод получил следующий:

Цитата:
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/enum.c:414:Error during CryptAcquireContext.

Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
Program is terminating.
[ErrorCode: 0x000006a6]


Возникло подозрение на ограничение доменного пользователя по правам доступа
Запустил cptools в режиме отладки:

Цитата:
"strace -f -o log csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251"
Выпадает в ошибку после получения gid guid^
Цитировать (выделенное)
6160 geteuid() = 712819099
6160 getegid() = 712800513
6160 rt_sigprocmask(SIG_BLOCK, ~[RTMIN RT_1], [], 8) = 0
6160 open("/etc/passwd", O_RDONLY|O_CLOEXEC) = 6
6160 fstat(6, {st_mode=S_IFREG|0644, st_size=2215, ...}) = 0
6160 read(6, "root:x:0:0:System Administrator:"..., 4096) = 2215
6160 read(6, "", 4096) = 0
6160 close(6) = 0
6160 fstat(4, {st_mode=S_IFREG|0644, st_size=8406312, ...}) = 0
6160 rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
6160 sendto(5, "<14>Jun 7 10:33:46 csptest: <li"..., 68, MSG_NOSIGNAL, NULL, 0) = 68
6160 sendto(5, "<14>Jun 7 10:33:46 csptest: <li"..., 88, MSG_NOSIGNAL, NULL, 0) = 88
6160 sendto(5, "<14>Jun 7 10:33:46 csptest: <ca"..., 83, MSG_NOSIGNAL, NULL, 0) = 83
6160 sendto(5, "<14>Jun 7 10:33:46 csptest: <ca"..., 83, MSG_NOSIGNAL, NULL, 0) = 83
6160 write(2, "An error occurred in running the"..., 42) = 42
6160 write(2, "/dailybuilds/CSPbuild/CSP/sample"..., 53) = 53
6160 write(2, "Error during CryptAcquireContext"..., 34) = 34
6160 write(2, "\n", 1) = 1
6160 write(2, "Error number 0x6a6 (1702).\n", 27) = 27
6160 write(2, "\320\235\320\265\320\264\320\276\320\277\321\203\321\201\321\202\320\270\320\274\321\213\320\271 \320\264\320\265\321\201\320"..., 64) = 64
6160 write(2, "Program is terminating.\n", 24) = 24
6160 fstat(1, {st_mode=S_IFIFO|0600, st_size=0, ...}) = 0
6160 write(1, "[ErrorCode: 0x000006a6]\n", 24) = 24
6160 close(3) = 0
6160 exit_group(1702) = ?
6160 +++ exited with 166 +++


Т.е. я вижу что cptools получает gid guid доменного пользователя, открывает /etc/passwd и пытается читать права этого пользователя. Ну и видимо ничего не получает после чего вываливается в ошибку.
Прошу помочь в решении данной проблемы.
Offline Русев Андрей  
#2 Оставлено : 10 июня 2019 г. 14:40:50(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Здравствуйте.
Насколько я вижу, cptools и перечисление считывателей ни при чём. У вас не работают никакие операции с провайдером. Так что можно начинать изучать проблему с элементарных:
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext

Ошибку предположительно возвращает системный вызов getpwnam_r. Можете собрать дополнительную диагностику с отладочной библиотекой:
https://www.cryptopro.ru...p/50/libcspr.so.4.0.5.xz
Её надо подменить в /opt/cprocsp/lib/amd64/libcspr.so.4.0.5 плюс отключить целостность:
Код:
cp /opt/cprocsp/lib/hashes/lsb-cprocsp-kc2-64 ~/lsb-cprocsp-kc2-64.backup
cat ~/lsb-cprocsp-kc2-64.backup|grep -v libcspr > /opt/cprocsp/lib/hashes/lsb-cprocsp-kc2-64

Потом поднять уровень журналирования и воспроизвести ошибку:
Код:
/opt/cprocsp/sbin/amd64/cpconfig -loglevel libcspr -mask 0x3f
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
/opt/cprocsp/sbin/amd64/cpconfig -loglevel libcspr -mask 1

Нужные сообщения будут в системном журнале от имени csptest с префиксом <libcspr>.

Отредактировано пользователем 11 июня 2019 г. 18:42:44(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Offline RomeoVar  
#3 Оставлено : 10 июня 2019 г. 16:55:29(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

Все пункты выполнил
Команды выполнил под админом:
cp /opt/cprocsp/lib/hashes/lsb-cprocsp-kc2-64 ~/lsb-cprocsp-kc2-64.backup
cat ~/lsb-cprocsp-kc2-64.backup|grep -v libcspr > /opt/cprocsp/lib/hashes/lsb-cprocsp-kc2-64
/opt/cprocsp/sbin/amd64/cpconfig -loglevel libcspr -mask 0xff

После этого выполнил команду под доменным пользователем:
lintest@pcl0001 Downloads]$ /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/ctkey.c:1113:AcquireContext("null")
Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x000006a6]

В системном журнале сообщения такие (Начиная с поднятия уровня журналирования):
июн 10 16:45:13 pcl0001.primer.local sudo[31561]: user : TTY=pts/1 ; PWD=/home/user ; USER=root ; COMMAND=/opt/cprocsp/sbin/amd64/cpconfig -loglevel libcspr -mask 0xff
июн 10 16:45:13 pcl0001.primer.local sudo[31561]: UNSPECIFIED (__progname="sudo" uid=0 euid=0): pam_systemd(sudo:session): Cannot create session: Already running in a session or user slice
июн 10 16:45:13 pcl0001.primer.local sudo[31561]: UNSPECIFIED (__progname="sudo" uid=0 euid=0): pam_tcb(sudo:session): Session opened for root by user(uid=0)
июн 10 16:45:13 pcl0001.primer.local sudo[31561]: UNSPECIFIED (__progname="sudo" uid=0 euid=0): pam_tcb(sudo:session): Session closed for root
июн 10 16:45:21 pcl0001.primer.local sshd[31498]: pam_tcb(sshd:session): Session closed for user
июн 10 16:45:21 pcl0001.primer.local systemd-logind[604]: Session c7 logged out. Waiting for processes to exit.
июн 10 16:45:21 pcl0001.primer.local systemd-logind[604]: Removed session c7.
июн 10 16:45:38 pcl0001.primer.local kernel: usb 1-6: new full-speed USB device number 5 using xhci_hcd
июн 10 16:45:38 pcl0001.primer.local mtp-probe[31575]: checking bus 1, device 5: "/sys/devices/pci0000:00/0000:00:14.0/usb1/1-6"
июн 10 16:45:38 pcl0001.primer.local mtp-probe[31575]: bus: 1, device: 5 was not an MTP device
июн 10 16:45:40 pcl0001.primer.local ntpd[1239]: reply from 192.168.100.28: offset -5.260198 delay 0.000719, next query 33s
июн 10 16:46:13 pcl0001.primer.local ntpd[1239]: reply from 192.168.100.28: offset -5.247307 delay 0.001177, next query 34s
июн 10 16:46:35 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31601] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:35 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:35 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31609] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:35 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:35 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31631] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:35 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:35 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31637] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:35 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:35 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31643] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:35 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:39 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31650] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:39 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:47 pcl0001.primer.local ntpd[1239]: reply from 192.168.100.28: offset -5.222243 delay 0.000989, next query 33s
июн 10 16:46:47 pcl0001.primer.local ntpd[1239]: adjusting local clock by -5.318968s
июн 10 16:46:47 pcl0001.primer.local ntpd[1239]: interval 253.129 olddelta -5.314 (delta - olddelta) -0.005
июн 10 16:46:47 pcl0001.primer.local ntpd[1239]: error_ppm -10.698 freq_delta -701111 tick_delta 0
июн 10 16:46:49 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31657] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:49 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]
июн 10 16:46:51 pcl0001.primer.local kernel: traps: TaskSchedulerSi[31671] trap invalid opcode ip:7f1dcd5bad60 sp:7f1dcb94ded8 error:0
июн 10 16:46:51 pcl0001.primer.local kernel: in libcspr.so.4.0.5[7f1dcd5b2000+122000]

Или так

[lintest@pcl0001 Downloads]$ dmesg | grep libcspr
[ 2985.170048] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2985.176806] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2985.246643] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2985.303816] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2985.333938] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2989.366316] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 2999.265484] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 3001.404228] in libcspr.so.4.0.5[7f1dcd5b2000+122000]
[ 3208.574401] in libcspr.so.4.0.5[7f1dcd5b2000+122000]

Отредактировано пользователем 19 июня 2019 г. 11:32:43(UTC)  | Причина: Не указана

Offline Русев Андрей  
#4 Оставлено : 11 июня 2019 г. 8:11:08(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Это другие системные журналы. Можете в journalctl глянуть?
Официальная техподдержка. Официальная база знаний.
Offline RomeoVar  
#5 Оставлено : 11 июня 2019 г. 9:50:05(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

Вот:

июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPAcquireContext pszContainer=null, flags=0xf0000000
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>ClntCPM_transport!: no channel
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>ClntCPM_transport!: no channel
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPLookupSession!: WireCPBeginSession failed: 0x6a6
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPLookupSession!: WireCPBeginSession failed: 0x6a6
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPAcquireContext return:0x6a6
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPAcquireContext pszContainer=null, flags=0xf0000000
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>ClntCPM_transport!: no channel
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>ClntCPM_transport!: no channel
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPLookupSession!: WireCPBeginSession failed: 0x6a6
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPLookupSession!: WireCPBeginSession failed: 0x6a6
июн 11 09:46:51 pcl0001.primer.local csptest[3285]: <libcspr>CPAcquireContext return:0x6a6

Отредактировано пользователем 19 июня 2019 г. 11:33:21(UTC)  | Причина: Не указана

Offline Русев Андрей  
#6 Оставлено : 11 июня 2019 г. 17:25:33(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Проблема в том, что uid вашего пользователя превышает 65535. Но провайдер в KC1 должен работать. Мы подумаем, как это поправить и в KC2.
Официальная техподдержка. Официальная база знаний.
Offline RomeoVar  
#7 Оставлено : 11 июня 2019 г. 17:52:25(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

Что сейчас можно сделать, чтобы работать с ключом ЕЦП или сколько ждать? Если не очень долго ждать решения то подождем
Offline Русев Андрей  
#8 Оставлено : 11 июня 2019 г. 18:24:07(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Прямо сейчас должна помочь установка lsb-cprocsp-kc1-64 вместо lsb-cprocsp-kc2-64.
Официальная техподдержка. Официальная база знаний.
Offline RomeoVar  
#9 Оставлено : 18 июня 2019 г. 14:54:21(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

Автор: Русев Андрей Перейти к цитате
рямо сейчас должна помочь установка lsb-cprocsp-kc1-64 вместо lsb-cprocsp-kc2-64.

Вернулся в тему. Пробовал просто удалить библиотеку lsb-cprocsp-kc2-64 и вместо нее поставить (переустановить) lsb-cprocsp-kc1-64. Это не помогло.
Переустановил весь "набор" для работы с крипто-про. Только не ставил lsb-cprocsp-kc2-64.
Ключей как не видел, так и не видит.
Раньше при выполнении команды "/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext"
Выдавало:
Цитата:
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/ctkey.c:1113:AcquireContext("null")
Error number 0x6a6 (1702).
Недопустимый дескриптор привязки.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x000006a6]


Теперь здесь все хорошо (условно). Выдает:
Цитата:
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11453 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 8517459
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000000]


в системном журнале так:
Цитата:
июн 18 09:59:00 pcl0001.primer.local cprocsp[1322]: File '//opt/cprocsp/bin/amd64/csptestlite' has been verified
июн 18 09:59:00 pcl0001.primer.local cprocsp[1322]: File '//opt/cprocsp/bin/amd64/csptestf' has been verified
июн 18 10:04:31 pcl0001.primer.local cprocsp[1316]: File '//opt/cprocsp/bin/amd64/csptestlite' has been verified
июн 18 10:04:31 pcl0001.primer.local cprocsp[1316]: File '//opt/cprocsp/bin/amd64/csptestf' has been verified
июн 18 13:17:45 pcl0001.primer.local cprocsp[1276]: File '//opt/cprocsp/bin/amd64/csptestlite' has been verified
июн 18 13:17:45 pcl0001.primer.local cprocsp[1276]: File '//opt/cprocsp/bin/amd64/csptestf' has been verified
июн 18 13:36:52 pcl0001.primer.local cprocsp[1300]: File '//opt/cprocsp/bin/amd64/csptestlite' has been verified
июн 18 13:36:52 pcl0001.primer.local cprocsp[1300]: File '//opt/cprocsp/bin/amd64/csptestf' has been verified



Но ключа как не видел, так и не видит

Отредактировано пользователем 19 июня 2019 г. 11:53:35(UTC)  | Причина: Не указана

Offline RomeoVar  
#10 Оставлено : 18 июня 2019 г. 15:06:14(UTC)
RomeoVar

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2019(UTC)
Сообщений: 10
Российская Федерация
Откуда: Санкт-Петербург

БОлее того, я начал проверять работу ецп на портале госзакупок. Под локальным пользователем без библиотеки lsb-cprocsp-kc2-64 на портал не пускает. т.е. без этой библиотеки не обойтись. Ну под доменным разумеется все совсем печально
Прошу помощи.

Отредактировано пользователем 18 июня 2019 г. 15:11:35(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.