Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Очень наболевший вопрос по работе ключей в сети
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28  Сказал(а) «Спасибо»: 2 раз
|
Появилось несколько аладин ключей с не извлекаемой частью. Необходимо для начала пробросить их на виртуальный сервер со службой удаленных рабочих столов на которых крутится 1с. Которой и нужны эти клоючи. Через что это реализуется?
Вопрос номер два.Ключ один.Нужно вести учет доступа .. кто и что подписывал им в разных программах. А это через что реализовать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: Максим Коллегин  вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Спасибо за комплимент.
Вы первый, кто просит подобный функционал, но идею записал.
Вообще ключ доступен только в рамках RDP-сессии и только пользователю терминальной сессии. Зачем тут нужны дополнительные уведомления -- не очень понятно.
А если про режим с токенами в сервере -- то это техническое решение мы только проектируем. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: greendrake вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть. Добрый день. Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь. Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP. Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/ |
|
 1 пользователь поблагодарил Grey за этот пост.
|
nickm оставлено 18.01.2022(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2022(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Максим Коллегин Добрый день. Подскажите, статья в базе знаний [КриптоПро CSP c доступом к локальным смарт-картам по RDP], там есть фраза Цитата:"Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости." а как создать эту группу????? Какие права выдавать? Выдававать "локального администратора" вообще не хочется. ЗЫ Проброс физических ключей на сервера отлично решается через [USB Redirector], тем более, что существует и прекрасно работает как для Win, так и для *nix систем.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2022(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Максим Коллегин Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup Спасибо за развернутый ответ, можете уточнить, вы группу "ловите" только по названию?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.02.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 2 раз
|
Автор: Grey Автор: greendrake вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть. Добрый день. Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь. Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP. Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/ Хочу заметить что сдача отчетности на разных площадках и в разных программах ведется от имени директора. Половина известных мне порталов .. тоже директор. Подписант на торговые площадки .. тоже директор. И вообще у нас в России только директор имеет право подписывать документы от лица фирмы. Поэтому директор должен решать кому и где дать подпись, а кому запретить.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Очень наболевший вопрос по работе ключей в сети
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
