Аннотация

В настоящей статье описываются действия по предоставлению удаленного доступа к ключевым носителям (проброса ключевых носителей). Доступ предоставляется с использованием протокола RDP. Ключевой носитель при этом физически подключен к компьютеру-клиенту под управлением Astra Linux, доступ предоставляется компьютеру-серверу под управлением Astra Linux. 

Установка пакетов

На компьютере-сервере и компьютере-клиенте должен быть установлен пакет pcscd. Для проверки доступности ключевых носителей дополнительно можно установить пакет pcsc-tools:

Пакета pcscd достаточно для предоставления удаленного доступа к ключевым носителям.

Для использования ключевых носителей могут быть установлены другие пакеты, в том числе — интерфейсные модули производителей ключевых носителей. Подробности см. в статье Ключевые носители (токены) PKCS в Astra Linux.

Настройка компьютера-сервера

1. Предполагается, что на компьютере-сервере установлен сервер удаленного доступа, работающий по протоколу RDP (сервер RDP). Установить сервер удаленного доступа можно командой:
   

   Command
   sudo apt install xrdp

   Подробнее см. в статье Взаимодействие удаленных графических интерфейсов Astra Linux и Windows.
2. При наличии возможности — после установки пакетов подключить образец используемого ключевого носителя к компьютеру-серверу и убедиться, что он опознается, выполнив команду:

   Блок кодаcommand
   pcsc_scan

Настройка компьютера-клиента

1. Предполагается, что на компьютере-клиенте установлено клиентское ПО для удаленного подключения по протоколу RDP. В настоящее время это ПО доступно в двух вариантах и может быть установлено следующими командами:
   • инструмент xfreerdp3 (доступен в составе основного репозитория начиная с обновления БЮЛЛЕТЕНЬ № 2025-0319SE17 (оперативное обновление 1.7.7)):
     

     Command
     sudo apt install freerdp3-x11

   • инструмент xfreerdp:

     Command
     sudo apt install freerdp2-x11

Далее в примерах используется инструмент xfreerdp. Опции инструмента xfreerdp3 аналогичны, более подробная информация доступна в справочной системе man.

Подключение по RDP с предоставлением доступа к ключевым носителям

Для предоставления доступа к ключевому носителю используется опция /smartcard. Простой пример для предоставления доступа ко всем подключенным ключевым носителям:

Или вариант с использованием инструмента xfreerdp3:

В  опции /smartcard может быть задана подстрока для селекции имен ключевых носителей, к которым должен быть предоставлен доступ. Например, для предоставления доступа только к ключевым носителям Рутокен (Aktiv Rutoken ECP) можно использовать вариант команды:

Проверка доступа к ключевому носителю

1. Для первичной проверки доступности носителя можно в открытой RDP-сессии

1. выполнить команду:code

   Command
   pcsc_scan

1. Если команда сообщает о наличии ключевого носителя, то доступ предоставлен.
2. Успешное выполнение первичной проверки не гарантирует работоспособность ключевого носителя. Для полной проверки корректности функционирования ключевого носителя следует убедиться, что с ним корректно работает ПО, для которого он предназначен. Для проверки выполнить с ключевым носителем какие-либо действия в RDP-сессии, например:
   • используя соответствующее ПО, подписать с помощью ключевого носителя документ электронной подписью;

   • проверить вход в систему с использованием двухфакторной аутентификации;

   • использовать инструменты командной строки (pkcs11-tool или opensc-tool) для запроса сертификата или подписи. Пример: для проверки ключевого носителя Рутокен с использованием инструмента pkcs11-tool можно использовать в RDP-сессии команду:
     

     Command
     pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L

     Подробные примеры команд можно найти в статье Ключевые носители (токены) PKCS в Astra Linux/