|
Аннотация
В настоящей статье описываются действия по предоставлению удаленного доступа к ключевым носителям (проброса ключевых носителей). Доступ предоставляется с использованием протокола RDP. Ключевой носитель при этом физически подключен к компьютеру-клиенту под управлением Astra Linux, доступ предоставляется компьютеру-серверу под управлением Astra Linux.
Установка пакетов
На компьютере-сервере и компьютере-клиенте должен быть установлен пакет pcscd. Для проверки доступности ключевых носителей дополнительно можно установить пакет pcsc-tools:
| sudo apt install pcscd pcsc-tools |
Пакета pcscd достаточно для предоставления удаленного доступа к ключевым носителям.
Для использования ключевых носителей могут быть установлены другие пакеты, в том числе — интерфейсные модули производителей ключевых носителей. Подробности см. в статье Ключевые носители (токены) PKCS в Astra Linux.
Настройка компьютера-сервера
- Предполагается, что на компьютере-сервере установлен сервер удаленного доступа, работающий по протоколу RDP (сервер RDP). Установить сервер удаленного доступа можно командой:
Подробнее см. в статье Взаимодействие удаленных графических интерфейсов Astra Linux и Windows.sudo apt install xrdp
- При наличии возможности — после установки пакетов подключить образец используемого ключевого носителя к компьютеру-серверу и убедиться, что он опознается, выполнив команду:
pcsc_scan
Настройка компьютера-клиента
- Предполагается, что на компьютере-клиенте установлено клиентское ПО для удаленного подключения по протоколу RDP. В настоящее время это ПО доступно в двух вариантах и может быть установлено следующими командами:
- инструмент xfreerdp3 (доступен в составе основного репозитория начиная с обновления БЮЛЛЕТЕНЬ № 2025-0319SE17 (оперативное обновление 1.7.7)):
sudo apt install freerdp3-x11
- инструмент xfreerdp:
sudo apt install freerdp2-x11
- инструмент xfreerdp3 (доступен в составе основного репозитория начиная с обновления БЮЛЛЕТЕНЬ № 2025-0319SE17 (оперативное обновление 1.7.7)):
Далее в примерах используется инструмент xfreerdp. Опции инструмента xfreerdp3 аналогичны, более подробная информация доступна в справочной системе man.
Подключение по RDP с предоставлением доступа к ключевым носителям
Для предоставления доступа к ключевому носителю используется опция /smartcard. Простой пример для предоставления доступа ко всем подключенным ключевым носителям:
| xfreerdp /v:<IP_адрес_сервера> /u:<имя_пользователя> /smartcard |
Или вариант с использованием инструмента xfreerdp3:
| xfreerdp3 /d:"" /v:<IP_адрес_сервера> /u:<имя_пользователя> /smartcard |
В опции /smartcard может быть задана подстрока для селекции имен ключевых носителей, к которым должен быть предоставлен доступ. Например, для предоставления доступа только к ключевым носителям Рутокен (Aktiv Rutoken ECP) можно использовать вариант команды:
| xfreerdp /v:<IP_адрес_сервера> /u:<имя_пользователя> /smartcard:Aktiv |
Проверка доступа к ключевому носителю
- Для первичной проверки доступности носителя можно в открытой RDP-сессии выполнить команду:
Если команда сообщает о наличии ключевого носителя, то доступ предоставлен.pcsc_scan - Успешное выполнение первичной проверки не гарантирует работоспособность ключевого носителя. Для полной проверки корректности функционирования ключевого носителя следует убедиться, что с ним корректно работает ПО, для которого он предназначен. Для проверки выполнить с ключевым носителем какие-либо действия в RDP-сессии, например:
- используя соответствующее ПО, подписать с помощью ключевого носителя документ электронной подписью;
проверить вход в систему с использованием двухфакторной аутентификации;
использовать инструменты командной строки (pkcs11-tool или opensc-tool) для запроса сертификата или подписи. Пример: для проверки ключевого носителя Рутокен с использованием инструмента pkcs11-tool можно использовать в RDP-сессии команду:
Подробные примеры команд можно найти в статье Ключевые носители (токены) PKCS в Astra Linux/pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L