<![CDATA[Форум Рутокен — SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> 2024-05-21T16:46:27Z PunBB https://forum.rutoken.ru/topic/4315/ <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Мы проверяли работу sssd с РедОС 7.3.5 и данным считывателем смарт-карт; тестовый сценарий выполнился успешно. В обновлениях для РедОС 7.3.5 доступен sssd-2.8.2: http://repo.red-soft.ru/redos/7.3/x86_64/updates/

]]> https://forum.rutoken.ru/user/8673/ 2024-05-21T16:46:27Z https://forum.rutoken.ru/post/24896/#p24896 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко, к сожалению нам не подходят все три варианта. Так что будем ждать когда на всех ОС обновят sssd хотя бы до 2.6.0

]]> https://forum.rutoken.ru/user/14198/ 2024-05-21T15:20:42Z https://forum.rutoken.ru/post/24894/#p24894 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Orontin, удалось ли вам решить проблему? Какой путь вы выбрали?

]]> https://forum.rutoken.ru/user/8673/ 2024-05-21T13:15:29Z https://forum.rutoken.ru/post/24893/#p24893 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Orontin пишет:

Евгений Мироненко, насколько я могу судить по описанию, это не всегда работает. Мы работаем в ОС: РедОС, Астра, АЛТ

Все верно. Это работает на Ubuntu. На других дистрибутивах может быть и pcscd собран без поддержки фильтрации, и запускаться pcscd может через systemctl (тогда в другом месте надо задавать переменную окружения PCSCLITE_FILTER_IGNORE_READER_NAMES).

Варианты рекомендаций:
1. Использовать считыватель с одним интерфейсом.
2. Пересобирать pcscd c поддержкой PCSCLITE_FILTER_IGNORE_READER_NAMES: https://github.com/LudovicRousseau/PCSC … ry.c#L167, https://github.com/LudovicRousseau/PCSC … re.ac#L356 и правильно передавать переменную окружения в зависимости от дистрибутива.
3. Обновить sssd. Выглядит так, будто в версии 2.9 проблем быть не должно: https://github.com/SSSD/sssd/blob/sssd- … sl.c#L1857 В принципе, уже в 2.6.0 поведение лучше: https://github.com/SSSD/sssd/blob/2.6.0 … sl.c#L1766

]]> https://forum.rutoken.ru/user/8673/ 2024-05-17T16:17:49Z https://forum.rutoken.ru/post/24861/#p24861 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко, насколько я могу судить по описанию, это не всегда работает. Мы работаем в ОС: РедОС, Астра, АЛТ

]]> https://forum.rutoken.ru/user/14198/ 2024-05-17T13:15:34Z https://forum.rutoken.ru/post/24858/#p24858 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко,

Изменял строку по разному, перезапускал службу\компьютер - не помогло, все равно видит

```
root@astralkjhgfdsa34q:/home/adminlocal# cat /etc/default/pcscd
PCSCLITE_FILTER_IGNORE_READER_NAMES="ACS ACR1252 Dual Reader [ACR1252 Dual Reader SAM]"
root@astralkjhgfdsa34q:/home/adminlocal# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L
Available slots:
Slot 0 (0x0): ACS ACR1252 Dual Reader [ACR1252 Dual Reader SAM] 01 00
  (empty)
Slot 1 (0x1): ACS ACR1252 Dual Reader [ACR1252 Dual Reader PICC] 00 00
  token label        : 123123123
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 60.1
  firmware version   : 30.2
  serial num         : 424a928f
  pin min/max        : 6/32
Slot 2 (0x2):
  (empty)
```

]]> https://forum.rutoken.ru/user/14198/ 2024-05-17T12:08:32Z https://forum.rutoken.ru/post/24854/#p24854 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> К счастью, в pcscd предусмотрен механизм фильтрации неугодных считывателей смарт-карт: https://ludovicrousseau.blogspot.com/20 … names.html

Считаю, что после добавления фильтрации sssd со считывателем ACS ACR1252 должен заработать корректно.

Что нужно сделать:
1. Добавить игнорирование считывателя "ACS ACR1252 Dual Reader [ACR1252 Dual Reader SAM]"

sudo sh -c "echo 'PCSCLITE_FILTER_IGNORE_READER_NAMES=\"ACS ACR1252 Dual Reader [ACR1252 Dual Reader SAM]\"'> /etc/default/pcscd

2. Перезапустить pcscd

sudo service pcscd restart

Смотрим через pkcs11-tool -L:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L
Available slots:
Slot 0 (0x0): ACS ACR1252 Dual Reader [ACR1252 Dual Reader PICC] 00 00
  token label        : emitent
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 60.1
  firmware version   : 32.2
  serial num         : 43226518
  pin min/max        : 6/32
Slot 1 (0x1):
  (empty)
Slot 2 (0x2):
  (empty)
Slot 3 (0x3):
  (empty)
Slot 4 (0x4):
  (empty)
Slot 5 (0x5):
  (empty)
Slot 6 (0x6):
  (empty)
Slot 7 (0x7):
  (empty)
Slot 8 (0x8):
  (empty)
Slot 9 (0x9):
  (empty)
Slot 10 (0xa):
  (empty)
Slot 11 (0xb):
  (empty)
Slot 12 (0xc):
  (empty)
Slot 13 (0xd):
  (empty)
Slot 14 (0xe):
  (empty)

Orontin, пожалуйста, проверьте и отпишитесь о результате.

]]> https://forum.rutoken.ru/user/8673/ 2024-05-17T11:30:06Z https://forum.rutoken.ru/post/24853/#p24853 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> С перечислением слотов на ACS ACR 1252 подтверждается: первый слот SAM, второй PICC.

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L
Available slots:
Slot 0 (0x0): ACS ACR1252 Dual Reader [ACR1252 Dual Reader SAM] 01 00
  (empty)
Slot 1 (0x1): ACS ACR1252 Dual Reader [ACR1252 Dual Reader PICC] 00 00
  token label        : emitent
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 60.1
  firmware version   : 32.2
  serial num         : 43226518
  pin min/max        : 6/32
Slot 2 (0x2):
  (empty)
Slot 3 (0x3):
  (empty)
Slot 4 (0x4):
  (empty)
Slot 5 (0x5):
  (empty)
Slot 6 (0x6):
  (empty)
Slot 7 (0x7):
  (empty)
Slot 8 (0x8):
  (empty)
Slot 9 (0x9):
  (empty)
Slot 10 (0xa):
  (empty)
Slot 11 (0xb):
  (empty)
Slot 12 (0xc):
  (empty)
Slot 13 (0xd):
  (empty)
Slot 14 (0xe):
  (empty)
]]> https://forum.rutoken.ru/user/8673/ 2024-05-17T09:37:15Z https://forum.rutoken.ru/post/24852/#p24852 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Orontin, мы еще будем выяснять завтра, но пока что я склонен считать, что это баг в p11_child (вот в этом месте: https://pagure.io/SSSD/sssd/blob/master … .c#_1720).
Что происходит:
1. Получение всех слотов (неважно, с токеном или нет): https://pagure.io/SSSD/sssd/blob/master … sl.c#_1669
2. В цикле по слотам получение информации о слоте: https://pagure.io/SSSD/sssd/blob/master … sl.c#_1677
3. Если в информации о слоте установлен флаг CKF_REMOVABLE_DEVICE, независимо от флага CKF_TOKEN_PRESENT, слоты больше не перебираются: https://pagure.io/SSSD/sssd/blob/master … sl.c#_1720 https://pagure.io/SSSD/sssd/blob/master … sl.c#_1724

Подтвердить, что при перечислении слотов через librtpkcs11ecp.so слотов несколько и первый пустой, можно такой командой:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L

Если запустите раньше меня на считывателе ACS 1252, пришлите вывод. На похожем ридере подтверждается:

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -L
Available slots:
Slot 0 (0x0): ACS ACR1281U 00 02
  (empty)
Slot 1 (0x1): ACS ACR1281U 00 01
  token label        : emitent
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 60.1
  firmware version   : 32.2
  serial num         : 43226518
  pin min/max        : 6/32
Slot 2 (0x2): ACS ACR1281U 00 00
  (empty)
Slot 3 (0x3):
  (empty)
Slot 4 (0x4):
  (empty)
Slot 5 (0x5):
  (empty)
Slot 6 (0x6):
  (empty)
Slot 7 (0x7):
  (empty)
Slot 8 (0x8):
  (empty)
Slot 9 (0x9):
  (empty)
Slot 10 (0xa):
  (empty)
Slot 11 (0xb):
  (empty)
Slot 12 (0xc):
  (empty)
Slot 13 (0xd):
  (empty)
Slot 14 (0xe):
  (empty)

На подтверждение бага нам нужно немного времени. В случае подтверждения на репорт, пулл-реквест, попадание в какую-то версию может уйти уже больше времени.

Если есть возможность, прошу проверить на другом считывателе смарт-карт (с одним интерфейсом, без SAM-слота), при условии что только он подключен к ПК. Я бы ожидал, что с другим считывателем должно заработать.

UPD: к p11_child есть похожие претензии: https://github.com/SSSD/sssd/issues/7295, https://github.com/SSSD/sssd/issues/5905

]]> https://forum.rutoken.ru/user/8673/ 2024-05-16T19:13:37Z https://forum.rutoken.ru/post/24826/#p24826 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко, версия librtPKCS - 2.14.0.0 от 25.03.2024

Мы смотрели на двух 3.0
"Rutoken miron SC dual NFC"
"Rutoken SC JC"

на них одинаковое поведение. К сожалению других 3.0 РуТокенов нету

]]> https://forum.rutoken.ru/user/14198/ 2024-05-16T15:13:42Z https://forum.rutoken.ru/post/24822/#p24822 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Orontin пишет:

p11, выдал вот такое

(2024-05-16 16:11:00): [p11_child[2240]] [do_card] (0x4000): Token not present.
(2024-05-16 16:11:00): [p11_child[2240]] [main] (0x0040): do_work failed.
(2024-05-16 16:11:00): [p11_child[2240]] [main] (0x0020): p11_child failed!

Значит как минимум он что-то делает чтобы его найти, но после падает из-за какой-то ошибки.

Верное наблюдение.
У вас нет возможности проверить с другим считывателем смарт-карт?
Какая версия библиотеки rtpkcs11ecp используется?

]]> https://forum.rutoken.ru/user/8673/ 2024-05-16T14:14:34Z https://forum.rutoken.ru/post/24821/#p24821 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> p11, выдал вот такое


(2024-05-16 16:11:00): [p11_child[2240]] [do_card] (0x4000): Token not present.
(2024-05-16 16:11:00): [p11_child[2240]] [main] (0x0040): do_work failed.
(2024-05-16 16:11:00): [p11_child[2240]] [main] (0x0020): p11_child failed!

Значит как минимум он что-то делает чтобы его найти, но после падает из-за какой-то ошибки.

]]> https://forum.rutoken.ru/user/14198/ 2024-05-16T13:25:11Z https://forum.rutoken.ru/post/24819/#p24819 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко, ссылка на логи без uri :

https://disk.yandex.ru/d/pITQn0QNFsMsZw

]]> https://forum.rutoken.ru/user/14198/ 2024-05-16T13:22:23Z https://forum.rutoken.ru/post/24817/#p24817 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Евгений Мироненко, uri указывался для обоих токенов. Сейчас соберу лог без uri

]]> https://forum.rutoken.ru/user/14198/ 2024-05-16T12:41:32Z https://forum.rutoken.ru/post/24816/#p24816 <![CDATA[Re: SSSD не видит РуТокен ЭЦП 3.0 NFC, но видит РуТокен ЭЦП 2.0]]> Orontin пишет:

3.0
---
Available slots:
Slot 0 (0x1): ACS ACR1252 Dual Reader [ACR1252 Dual Reader PICC] 00 00
  token label        : 123123123
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 60.1
  firmware version   : 30.2
  serial num         : 424a928f
  pin min/max        : 6/32
---

Я правильно понимаю, что смарт-карта с серийным номером 424a928f при снятии логов https://disk.yandex.ru/d/d1LuaYIJOE0ifw не подключалась?

]]> https://forum.rutoken.ru/user/8673/ 2024-05-16T12:36:49Z https://forum.rutoken.ru/post/24815/#p24815