1 Тема от igoro (2023-02-02 15:53:13 отредактировано igoro)

  • igoro
  • New member
  • Неактивен
  • Зарегистрирован: 2018-04-24
  • Сообщений: 9

Тема: Проблема после обновления сигнатуры-L версии 5 на 6

Здравствуйте!

Проблема возникла после обновления сигнатуры-L версии 5 на версию 6
При запуске справочника сертификатов пользователь стал получать сообщение "Вставьте ключевой носитель с ключом '0123456789' в любое устройство."

Полез я разбираться.
Выяснилось, что при запуске пользователем /opt/Validata/VDCSP/bin/amd64/vdcsp_cfg выскакивает окно с ошибкой
"Ошибка 0x80100013 при получении списка смарт-карт. Обнаружена ошибка внутреннего обмена данными."
после чего в "программе конфигурации СКЗИ" невозможно увидеть ключи на vdToken -- токена как будто нет!

Далее, если запускать /opt/Validata/VDCSP/bin/amd64/vdcsp_cfg от root'а, то всё прекрасно видно -- и vdToken, и ключи на нём.

В сигнатуре-L 5 не нужно было быть суперюзером, чтобы токен увидеть.


И ещё пара моментов
1) Обращение к линукс-хостам происходит через vnc (и на Xserver удалённый пробовал)
2) В случае, если в качестве ключевого носителя выступает флэшка, то всё ОК -- она видна с ключами.

но проблема в том, что флэшки с ключами мы можем пользовать на тестовых серверах
на продуктовых серверах используются vdToken'ы


Подскажите, пожалуйста, куда копать, и как можно логирование расширенное включить для криптосервиса?

P.s. совсем забыл ОС указать -- RHEL 8.4

2 Ответ от igoro (2023-03-07 13:28:50 отредактировано igoro)

  • igoro
  • New member
  • Неактивен
  • Зарегистрирован: 2018-04-24
  • Сообщений: 9

Re: Проблема после обновления сигнатуры-L версии 5 на 6

Оказалось, что валидата тут вовсе ни при чём )
Это особенность дистрибутива RHEL
pcsc_scan поступал точно так же -- у рута в удалённой сессии находил смаркарту, у обычного юзера -- нет
исследования натолкнули на это https://www.redhat.com/en/blog/controlling-access-smart-cards
в итоге, после создания подходящего /usr/share/polkit-1/rules.d/org.debian.pcsc-lite.rules всё заработало и в валидатовском софте

# cat /usr/share/polkit-1/rules.d/org.debian.pcsc-lite.rules 
polkit.addRule(function(action, subject) {
    if ((action.id == "org.debian.pcsc-lite.access_pcsc" &&
         subject.user == "qpsuser" )) {
            return polkit.Result.YES;
    }
});

polkit.addRule(function(action, subject) {
    if ((action.id == "org.debian.pcsc-lite.access_card" &&
         subject.user == "qpsuser" )) {
            return polkit.Result.YES;
    }
});

3 Ответ от ant

  • ant
  • Administrator
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2007-02-02
  • Сообщений: 342

Re: Проблема после обновления сигнатуры-L версии 5 на 6

Добрый день.

Спасибо за информацию, с такой проблемой еще не сталкивались.

Сайт ant