Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: mans0n  сертификаты в контейнерах есть, я ошибся. Но как заставить плагин отображать каждому пользователю свой сертификат? У каждого пользователя стоит только свой а при входе в госуслуги отображаются все с виртуальной дискеты. Проблема в том что много пользователей и наименование сертификатов одинаковые изза Юридических. И пользователи не знают какой из пары десятков сертификатов выбирать. Похоже решаемо только установкой локально.Или же есть варианты? Тогда это особенность плагина - нужно сделать так чтобы пользователю был "виден" только один контейнер. На дискете как правило нет привязки к определенному пользователю, то есть все контейнеры на дискете видят все пользователи. Вариант 1. Ограничить видимость контейнера на дискете. Допустим запретить перечислять файлы в папке-контейнере всем пользователям кроме одного. Это может быть сложно сделать, так как я не уверен перечисляются контейнеры плагином от имени пользователя или принципиально перечисление идет от имени системы (так как криптопровайдер запускается от "Локальная система"). Если от системы, то вариант не сработает, так как запретить системе будет означать что криптопровайдер тоже не сможет обратиться к контейнеру. Кроме того, на виртуальной дискетке придется сделать файловую систему NTFS, так как FAT не поддерживает права пользователей в полной мере. Ориентир к чему стремиться: права на стандартный общий ресурс Users, где администраторам видно и доступно все, а обычным пользователям видно только свою папку, другие папки вообще не отображает. Вариант 2. Сделать тьму дискеток и дать к каждой доступ только одному пользователю через политики. Справедливо замечание про перечисление от системы. Букв дисков может не хватить. Теоретически конечно можно сделать по-другому: чтобы на одной букве каждому пользователю отображался свой диск (например, если в командной строке запустить subst без прав администратора, то виртуальная буква будет видна в консоли текущего пользователя, но не в проводнике), но сработает ли это при перечислении контейнеров у меня уверенности нет. Вариант 3. Сделать на дискетке вместо папок контейнеров junction на какое-то место доступное только одному пользователю (профиль пользователя?) с папками контейнерами. Например, перенаправить f:\XXXXXXXX.000 на c:\users\User1\cont\xxxxxxxx.000 (или взять путь из варианта 5), где f буква флешки. Справедливо замечание про перечисление от системы. В висте (2008 сервере) и выше есть команда mklink c ключом /J, для икспи (2003 сервере) можно скачать программу junction. Вариант 4. Попробуйте перенести контейнеры в реестр, каждому пользователю - свой контейнер. Из реестра пользователь видит только свои контейнеры плюс контейнеры компьютера. Дискеты (несистемные диски, флешки, токены) же видны и в режиме пользователя и в режиме компьютера. Вариант 5. Есть еще и папка в профиле пользователя куда можно сложить контейнеры (по аналогии с *nix), введено в 5.0 версии. Это также будет видно только одному пользователю. https://www.cryptopro.ru...&m=109283#post109283Отредактировано пользователем 14 января 2020 г. 8:21:59(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.01.2020(UTC) Сообщений: 7 Откуда: Муравленко
|
Автор: two_oceans Автор: mans0n сертификаты в контейнерах есть, я ошибся. Но как заставить плагин отображать каждому пользователю свой сертификат? У каждого пользователя стоит только свой а при входе в госуслуги отображаются все с виртуальной дискеты. Проблема в том что много пользователей и наименование сертификатов одинаковые изза Юридических. И пользователи не знают какой из пары десятков сертификатов выбирать. Похоже решаемо только установкой локально.Или же есть варианты? Тогда это особенность плагина - нужно сделать так чтобы пользователю был "виден" только один контейнер. На дискете как правило нет привязки к определенному пользователю, то есть все контейнеры на дискете видят все пользователи. Вариант 1. Ограничить видимость контейнера на дискете. Допустим запретить перечислять файлы в папке-контейнере всем пользователям кроме одного. Это может быть сложно сделать, так как я не уверен перечисляются контейнеры плагином от имени пользователя или принципиально перечисление идет от имени системы (так как криптопровайдер запускается от "Локальная система"). Если от системы, то вариант не сработает, так как запретить системе будет означать что криптопровайдер тоже не сможет обратиться к контейнеру. Кроме того, на виртуальной дискетке придется сделать файловую систему NTFS, так как FAT не поддерживает права пользователей в полной мере. Ориентир к чему стремиться: права на стандартный общий ресурс Users, где администраторам видно и доступно все, а обычным пользователям видно только свою папку, другие папки вообще не отображает. Вариант 2. Сделать тьму дискеток и дать к каждой доступ только одному пользователю через политики. Справедливо замечание про перечисление от системы. Букв дисков может не хватить. Теоретически конечно можно сделать по-другому: чтобы на одной букве каждому пользователю отображался свой диск (например, если в командной строке запустить subst без прав администратора, то виртуальная буква будет видна в консоли текущего пользователя, но не в проводнике), но сработает ли это при перечислении контейнеров у меня уверенности нет. Вариант 3. Сделать на дискетке вместо папок контейнеров junction на какое-то место доступное только одному пользователю (профиль пользователя?) с папками контейнерами. Например, перенаправить f:\XXXXXXXX.000 на c:\users\User1\cont\xxxxxxxx.000 (или взять путь из варианта 5), где f буква флешки. Справедливо замечание про перечисление от системы. В висте (2008 сервере) и выше есть команда mklink c ключом /J, для икспи (2003 сервере) можно скачать программу junction. Вариант 4. Попробуйте перенести контейнеры в реестр, каждому пользователю - свой контейнер. Из реестра пользователь видит только свои контейнеры плюс контейнеры компьютера. Дискеты (несистемные диски, флешки, токены) же видны и в режиме пользователя и в режиме компьютера. Вариант 5. Есть еще и папка в профиле пользователя куда можно сложить контейнеры (по аналогии с *nix), введено в 5.0 версии. Это также будет видно только одному пользователю. https://www.cryptopro.ru...&m=109283#post109283 Огромное спасибо ... Помог 4 Вариант. Кто столкнулся с подобной ситуацией. Копируем в реестр закрытый ключ с сертификатом под каждым пользователем. И отключаем дискету вообще.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691  Сказал «Спасибо»: 500 раз
Поблагодарили: 2045 раз в 1586 постах
|
Ещё вариант: избавиться от сертификатов внутри контейнеров. |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: Андрей Писарев Ещё вариант: избавиться от сертификатов внутри контейнеров. Лично я целиком и полностью за такой вариант, но надо проверить - вероятно плагин госуслуг вообще не увидит контейеры без сертификата.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.01.2020(UTC) Сообщений: 7 Откуда: Муравленко
|
Автор: Андрей Писарев Ещё вариант: избавиться от сертификатов внутри контейнеров. Если не сохранять сертификат внутри контейнера то плагин не видит сертификата. Если говорить про Win 2008 возможно при локальных пользователях иначе не проверял.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
