Linux и CryptoPro 4.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Linux и CryptoPro 4.

Опции

Предыдущая тема Следующая тема

Evstafiev		#1 Оставлено : 7 июля 2017 г. 12:32:26(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.07.2017(UTC) Сообщений: 4 Откуда: Санкт-Петербург		Добрый день, отцы моих побед! Стоит задача в операционной системе Linux (точнее - Russian Fedora Remix 25) связать 1С:Бухгалтерия с CryptoPro на предмет подключения к ЭДО. КриптоПро, естественно, выбран последний на сегодняшний день (4.0.0-5, CSP (Type:80) v4.0.9016 KC1 Release Ver:4.0.9914 OS:Linux CPU:AMD64). Для работы установлены следующие пакеты: Цитата: # rpm -qa \| grep cprocsp lsb-cprocsp-base-4.0.0-5.noarch cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64 cprocsp-rdr-esmart-64-4.0.0-5.x86_64 cprocsp-rdr-novacard-64-4.0.0-5.x86_64 cprocsp-curl-64-4.0.0-5.x86_64 cprocsp-rdr-gui-64-4.0.0-5.x86_64 lsb-cprocsp-rdr-64-4.0.0-5.x86_64 cprocsp-rdr-inpaspot-64-4.0.0-5.x86_64 cprocsp-rdr-rutoken-64-4.0.0-5.x86_64 cprocsp-rdr-jacarta-64-3.6.408.676-4.x86_64 lsb-cprocsp-kc1-64-4.0.0-5.x86_64 cprocsp-rdr-emv-64-4.0.0-5.x86_64 cprocsp-rdr-mskey-64-4.0.0-5.x86_64 cprocsp-rdr-pcsc-64-4.0.0-5.x86_64 lsb-cprocsp-capilite-64-4.0.0-5.x86_64 И соответствующий драйвер RuToken'а. RuToken к компьютеру подключен: Цитата: $ lsusb ................ Bus 001 Device 004: ID 0a89:0020 Aktiv Rutoken S ................ Проблемы следующие - А: КриптоПро видит контейнеры на RuTokene только если смотреть от рута. А именно: Цитата: # /opt/cprocsp/bin/amd64/csptest -card -enum -v -v Aktiv Co. Rutoken S 00 00 Card present, ATR=3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00 CSP-applet Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,100 sec [ErrorCode: 0x00000000] Работать же в 1С будет никак не рут, а конкретный юзер. А вот этому юзеру RuToken ничего не отдаёт. А именно: 1. Юзер не может получить список подключенных считывателей: Цитата: $ /opt/cprocsp/bin/amd64/list_pcsc ERROR: SCardEstablishContext() 2. Юзер не может добавить считыватель: Цитата: $ /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add 'Aktiv Co. Rutoken S 00 00' Adding new reader: Nick name: Aktiv Co. Rutoken S 00 00 Adding Aktiv Co. Rutoken S 00 00 failed Connection error. И так далее, вплоть до того, что он не может прочитать из рутокена сертификат и собственные ключи для подписи-шифрования. Всё это работает только от рута. B: Если работаем от рута, то, несмотря на то, что загружен СА центра сертификации в хранилище root, утилита подписывания пишет, что не может проверить цепочку подписания пользовательского сертификата. Пишет, что Цитата: Error: Certificate chain is not checked for this certificate (error code 10000): /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133 и затем начинаются разного рода "разговоры". Конечно, ключик --nochain спасает, но это, все-таки не есть правильно. Это сертификат СА удостоверяющего центра: Цитата: # /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot ============================================================================= 1------- Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Subject : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5 Serial : 0x742524550003000007E9 SHA1 Hash : 69adfd7a4615cade5eae812c652d37c3275d0600 SubjKeyID : 3690170894ac83db31857a26fab5a6ea770ac0f1 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 14/11/2016 07:00:00 UTC Not valid after : 14/11/2026 07:10:00 UTC PrivateKey Link : No CA cert URL : http://rostelecom.ru/cdp/vguc1_4.crt CA cert URL : http://reestr-pki.ru/cdp/vguc1_4.crt CDP : http://rostelecom.ru/cdp/vguc1_4.crl CDP : http://reestr-pki.ru/cdp/vguc1_4.crl =================================================== Это - пользовательскимй сертификат: Цитата: # /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy ============================================================================= 1------- Issuer : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5 ..................................... =============================================================================== Скажите, что я неправильно делаю и где ошибаюсь? ############ Источник проблемы, вроде нарыл, pcscd сообщает, что: Цитата: 00011421 auth.c:137:IsClientAuthorized() Process 26371 (user: 1001) is NOT authorized for action: access_pcsc 00000170 winscard_svc.c:332:ContextThread() Rejected unauthorized PC/SC client В общем, знатоки, выручайте, как настроить pcscd для того, чтобы он пускал юзера (1001) к девайсу, а не только рута? Отредактировано пользователем 7 июля 2017 г. 12:43:42(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей Емельянов		#2 Оставлено : 7 июля 2017 г. 15:09:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз Поблагодарили: 148 раз в 144 постах		Добрый день. Установку базовых пакетов производили скриптом install.sh? Переустановите CSP. Выполните: Код: `# ./uninstall.sh # rm -rf /etc/opt/cprocsp/` Далее произведите установку: Код: `# ./install.sh` Из дополнительных пакетов дистрибутива CSP установите минимальный набор, для проверки Вашего Rutoken S Код: `cprocsp-rdr-gui-gtk-64-4.0.0-5.x86_64 (или cprocsp-rdr-gui-64-4.0.0-5.x86_64, если нужен) cprocsp-rdr-pcsc-64-4.0.0-5.x86_64 ifd-rutokens-1.0.1-1.x86_64 cprocsp-rdr-rutoken-64-4.0.0-5.x86_64` Никаких дополнительных действий для добавления считывателей/носителей проводить не нужно. Проверьте виден ли Rutoken S от пользователя, или только под root? Для того, чтобы строилась цепочка - в хранилище uRoot поставьте сертификат "Головного удостоверяющего центра", можно скачать с сайта https://e-trust.gosuslugi.ru/MainCA
		Техническую поддержку оказываем тут Наша база знаний Наша страничка в Instagram


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Evstafiev		#3 Оставлено : 7 июля 2017 г. 16:00:27(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.07.2017(UTC) Сообщений: 4 Откуда: Санкт-Петербург		Автор: eav Добрый день. Установку базовых пакетов производили скриптом install.sh? Переустановите CSP. Именно так все и делалось. Просто считывателей поставил побольше. Оно не принципиально. Собака зарылась в том, что pcscd не пускает к рутокену никого кроме рута: Цитата: 00040483 auth.c:137:IsClientAuthorized() Process 20643 (user: 1000) is NOT authorized for action: access_pcsc 00000174 winscard_svc.c:332:ContextThread() Rejected unauthorized PC/SC client В результате этого имеем: Цитата: [root@Chronos alex]# /opt/cprocsp/bin/amd64/list_pcsc Aktiv Co. Rutoken S 00 00 [root@Chronos alex]# exit exit [alex@Chronos ~]$ /opt/cprocsp/bin/amd64/list_pcsc ERROR: SCardEstablishContext() Оно, конечно, можно прикостылить sudo, но не думаю, что это есть правильно. Я нашел нечто похожее в багах openSUSE за 2015 год. Но решения я там найти не смог.Надо где-то и как-то корректировать политику для access_pcsc. Но где и как - найти не могу. Это по первой проблеме. По второй - спасибо за наводку на ключи Минкомсвязи. Я до этого тоже догадался. И эти ключи (правда, найденные на другом сайте) поставил. Но это - проблему не решило. То ли ключ Тензора (наш УЦ) какой-то хитрый, то ли руки у меня кривые: Цитата: # CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn "E=my@email.com" -df my.cer -der CryptCP 4.0 (c) "Crypto-Pro", 2002-2017. Command prompt Utility for file signature and encryption. The following certificate will be used: RDN:*****Мыши сгрызли****************************************** Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53 1.Find path for: Subject:'STREET="*************************************" AltName:ALTNAME=<DIRECTORY_NAME> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5' Found at store 0x1ae6bc0: Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5' Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&' 2.Find path for: Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5' Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&' There is no valid issuer. There is no valid issuer. ----------- Error chain ----------- Chain status:IS_PARTIAL_CHAIN Revocation reason:unspecified 1. Subject:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5' Issuer:'INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 3. >A:20 C;. "25@A:0O 4.7, O=8=:><A2O7L >AA88, L=>A:20, S=77 3. >A:20, C=ru, CN=#& 1 ! #&' Cert status:CERT_TRUST_NO_ERROR 2. Subject:'STREET="?@. OB8;5B>:, 3, 163", S=78 3. !0=:B-5B5@1C@3, L=!0=:B-5B5@1C@3, C=ru, G=20= ;048<8@>28G, SN=52=5@>2, CN=52=5@>2 20= ;048<8@>28G, T=?@54?@8=8<0B5;L, OU=0, O= 52=5@>2 20= ;048<8@>28G, UnstructuredName="INN=78*****", E=**, INN=**, OGRNIP=***, SNILS=******' AltName:ALTNAME=<DIRECTORY_NAME> Issuer:'E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=ru, S=76 /@>A;02A:0O >1;0ABL, L=/@>A;02;L, STREET=>A:>2A:89 ?@>A?5:B 4.12, OU=#4>AB>25@ONI89 F5=B@, O= ><?0=8O "5=7>@, CN=TENSORCA5' Cert status:CERT_TRUST_NO_ERROR Certificate chain is not checked for this certificate: RDN:********************************************************************************** Valid from 16.01.2017 07:00:53 to 16.01.2018 07:10:53 Error: Certificate chain is not checked for this certificate (error code 10000): /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:357: 0x20000133 Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?CC Error: Canceled by user. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:373: 0x20000066 [ErrorCode: 0x20000066] Список головных сертификаторов у меня следующий: # /opt/cprocsp/bin/amd64/certmgr -list -cert -store uRoot Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Subject : E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O=ООО Компания Тензор, CN=TENSORCA5 Serial : 0x742524550003000007E9 SHA1 Hash : 69adfd7a4615cade5eae812c652d37c3275d0600 SubjKeyID : 3690170894ac83db31857a26fab5a6ea770ac0f1 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 14/11/2016 07:00:00 UTC Not valid after : 14/11/2026 07:10:00 UTC PrivateKey Link : No CA cert URL : http://rostelecom.ru/cdp/vguc1_4.crt CA cert URL : http://reestr-pki.ru/cdp/vguc1_4.crt CDP : http://rostelecom.ru/cdp/vguc1_4.crl CDP : http://reestr-pki.ru/cdp/vguc1_4.crl 2------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г.Москва, C=RU, CN=УЦ 2 ИС ГУЦ Serial : 0x3C822519000000000018 SHA1 Hash : 538ad264547716302401cdfb316b287db12ba675 SubjKeyID : c66bc102a292aa140a0a4a14fd191d0d57d0449c Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 23/07/2013 06:54:22 UTC Not valid after : 22/07/2017 06:54:22 UTC PrivateKey Link : No CDP : http://rostelecom.ru/cdp/guc.crl CDP : http://reestr-pki.ru/cdp/guc.crl 3------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Serial : 0x00D5C9E8E300000000000C SHA1 Hash : 9e78a331020e528c046ffd57704a21b7d2241cb3 SubjKeyID : f4662f3c5dd85c645d2b2ddea31e91fd8818fe3a Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 20/07/2012 13:25:06 UTC Not valid after : 17/07/2027 13:25:06 UTC PrivateKey Link : No CDP : http://rostelecom.ru/cdp/guc.crl CDP : http://reestr-pki.ru/cdp/guc.crl 4------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Serial : 0x34681E40CB41EF33A9A0B7C876929A29 SHA1 Hash : 8cae88bbfd404a7a53630864f9033606e1dc45e2 SubjKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 20/07/2012 12:31:14 UTC Not valid after : 17/07/2027 12:31:14 UTC PrivateKey Link : No 5------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Serial : 0x00CCE04564000000000092 SHA1 Hash : 0932e483c4420e668f64d360006d0beb0bfacca7 SubjKeyID : 9fc27358a874816a606d33f447a468a67639679b Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 07/12/2016 10:51:11 UTC Not valid after : 07/12/2026 10:51:11 UTC PrivateKey Link : No CDP : http://rostelecom.ru/cdp/guc.crl CDP : http://reestr-pki.ru/cdp/guc.crl 6------- Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Subject : INN=007604094283, OGRN=1067604081710, STREET=Московский пр-т д.12, L=г. Ярославль, S=76 Ярославская область, C=RU, O=ООО «Удостоверяющий центр Тензор», OU=Удостоверяющий центр, CN=ООО «Удостоверяющий центр Тензор», E=ca@tensor.ru Serial : 0x04A81E4005A9185C82E61186E89A8A8D26 SHA1 Hash : 888ed64bf7270b09fa57395623a8319ec24df1f8 SubjKeyID : 8fd696fc0b699992d7a1da37d782db8b600e64cc Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 01/02/2017 13:45:57 UTC Not valid after : 07/12/2026 10:51:11 UTC PrivateKey Link : No CA cert URL : http://rostelecom.ru/cdp/vguc1_5.crt CA cert URL : http://reestr-pki.ru/cdp/vguc1_5.crt CDP : http://rostelecom.ru/cdp/vguc1_5.crl CDP : http://reestr-pki.ru/cdp/vguc1_5.crl 7------- Issuer : INN=007604094283, OGRN=1067604081710, STREET=Московский пр-т д.12, L=г. Ярославль, S=76 Ярославская область, C=RU, O=ООО «Удостоверяющий центр Тензор», OU=Удостоверяющий центр, CN=ООО «Удостоверяющий центр Тензор», E=root@nalog.tensor.ru Subject : INN=007604094283, OGRN=1067604081710, STREET=Московский пр-т д.12, L=г. Ярославль, S=76 Ярославская область, C=RU, O=ООО «Удостоверяющий центр Тензор», OU=Удостоверяющий центр, CN=ООО «Удостоверяющий центр Тензор», E=root@nalog.tensor.ru Serial : 0x00 SHA1 Hash : d210e1f42e5d164e5158403004689c869e8e82a3 SubjKeyID : 47c78ca73205cb317cb8a4af21b48a0d139b31bc Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 21/10/2015 06:59:29 UTC Not valid after : 19/10/2020 06:59:29 UTC PrivateKey Link : No 8------- Issuer : OGRN=1027600787994, INN=007605016030, STREET=Московский проспект д.12, E=root@nalog.tensor.ru, C=RU, S=76 Ярославская область, L=Ярославль, O=ООО Компания Тензор, OU=Удостоверяющий центр, CN=TENSORCA3 Subject : OGRN=1027600787994, INN=007605016030, STREET=Московский проспект д.12, E=root@nalog.tensor.ru, C=RU, S=76 Ярославская область, L=Ярославль, O=ООО Компания Тензор, OU=Удостоверяющий центр, CN=TENSORCA3 Serial : 0x0F6132F7006FB6A24DB60832EC736C6F SHA1 Hash : 1f9fa5b747c49fb2438f5cb05fc4a65390e44c20 SubjKeyID : 4e61b67ad1fc012de53a2453b96ceacd709a729a Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 17/11/2015 11:33:56 UTC Not valid after : 17/11/2030 11:43:56 UTC PrivateKey Link : No ============================================================================= [ErrorCode: 0x00000000] Отредактировано пользователем 7 июля 2017 г. 16:04:00(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#4 Оставлено : 10 июля 2017 г. 10:57:39(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,268 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 445 раз в 324 постах		В наших стендах на штатных установках следующих ОС эта проблема не наблюдается: Ubuntu 10 Ubuntu 12 ALTLinux 6 CentOS 6 CentOS 7 FreeBSD 9 Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е: https://access.redhat.co...ogs/766093/posts/1976313
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Evstafiev		#5 Оставлено : 10 июля 2017 г. 10:59:09(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.07.2017(UTC) Сообщений: 4 Откуда: Санкт-Петербург		И в продолжение проблемы. Если программы КриптоПро запускать через sudo, то они нормально общаются с токеном. В общем-то, это ожидаемо, но непонятно, зачем криптопрошному демону лезть к токену (через pcscd) от имени юзера, если он по политикам пускает в себя только рута. Ядро криптопрошное запускается от рута, ведь все вызовы к аппаратуре через него должны идти, как я понимаю, зачем полномочия то снижать до юзерских?
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Evstafiev		#6 Оставлено : 10 июля 2017 г. 11:12:24(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.07.2017(UTC) Сообщений: 4 Откуда: Санкт-Петербург		Автор: olin В наших стендах на штатных установках следующих ОС эта проблема не наблюдается: Ubuntu 10 Ubuntu 12 ALTLinux 6 CentOS 6 CentOS 7 FreeBSD 9 Вероятно, у вас по умолчанию включены жёсткие правила запретов в polkit-е: https://access.redhat.co...ogs/766093/posts/1976313 У меня Fedora 25.x64. В ней вообще нет (я не нашел ни в /etc/polkit-1, ни в /usr/share/polkit-1) установленных правил для pcscd. Видимо, он работает без этих правил, по умолчанию. А там - только рут или консоль. За ссылку - спасибо. Буду над ней думать. Вероятно (на будущее) имеет смысл включить в поставляемый пакет (rpm) и правильные правила, которые позволят работать с токеном, точнее с pcsd, обычному юзеру, а не только руту. Или написать это дело большими красными буквами в соответствующей инструкции, чтобы у тупого сисадмина проблем не возникало. ==================================== Спасибо за ссылку еще раз. Поставил нужные правила. Юзер токен увидел. Буду "развлекаться" с этим делом дальше. Теперь осталось понять, почему оно цепочку сертификатов проверить не может. Или прикостылить алиасную команду с ключиком --nochain. Отредактировано пользователем 10 июля 2017 г. 11:33:49(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close