RutokenS+AstraLinuxSE1.6+SecretNet(Studio)
Здравствуйте!
Давно не обращался с вопросами подобного характера (с последней темы прошло, ужас, почти 6 лет: https://forum.rutoken.ru/topic/1947/), но время, видимо, пришло :)
Имеется связка:
- сервер под управлением Windows Server 2008/2012 R2 с поднятой службой терминалов;
- СЗИ НСД для сервера Secret Net 7 / Secret Net Studio 8.4;
- клиентский идентификатор Rutoken S с комплектом драйверов под Win и Lin из соответствующего раздела сайта;
- клиентская машина под управлением Linux Mint 19 x64, ядро 4.15;
- клиентская машина под управлением Astra Linux Special Edition 1.6, ядро 4.15;
- программный пакет freerdp-x11 для создания терминальной сессии.
Пытаюсь реализовать схему проброса аппаратного идентификатора (Rutoken S) в терминальную среду (Windows Server) с клиентской nix-машины (Mint / Astra).
На обеих машинах установлены свежие драйверы ifd-rutokens-1.0.4.deb для x64 архитектуры, а также необходимые зависимости: libccid, pcscd и libpcsclite1. С той лишь разницей, что под Linux Mint имеется пакет pcsc-tools для проверки работы Rutoken S, а под Astra Linux он отсутствует.
В Astra Linux специально отключена поддержка мандатного контроля целостности (МКЦ) через astra-mic-control disable и пользователю (user) превентивно выставлены права работы исключительно в 0 мандатной сессии.
Проблематика
Если не устанавливать Secret Net (Secret Net Studio) в терминальную среду Windows Server, то и под Linux Mint, и под Astra Linux проброс Rutoken S через xfreerdp выполняется корректно. Панель управления Рутокен (Windows) "видит" проброшенный токен, позволяет к нему обратиться, отформатировать и т.д.
Если установить Secret Net (Secret Net Studio), то из-под Astra Linux проброс "отваливается": при создании терминальной сессии токен несколько раз мигает, но затем обращение к нему полностью прекращается. В результате, токен не видится ни средствами Secret Net (Secret Net Studio), ни средствами Панели управления (Windows) - выводится работы ошибка службы смарт-карт с предложением посетить страницу настройки Рутокена для RDP-сессии. Демон pcscd в свою очередь периодически уходит в inactive режим - приходится его рестартовать через systemctl.
Из-под Linux Mint аналогичная связка полностью отрабатывает: токен "виден" и средствами Панели управления, и средствами Secret Net (Secret Net Studio).
Очевидно, что корень зла в компонентах Astra Linux Special Edition, однако никак не могу сообразить, в каких конкретно. Такое ощущение, что обращение к токену средствами Secret Net (Secret Net Studio) в RDP-сессии приводит к переполнению буфера или иной схожей проблеме демона pcscd или самого драйвера Rutoken S.
Собственно, хотел узнать:
- возможно, существует свежий драйвер, разработанный именно под Astra Linux Special Edition и новее 2014 г.в.?
- возможно, что проблема в демоне pcscd или зависимостях (libccid, libpcsclite1) из комплекта Astra Linux Special Edition?
- возможно, имеется определенная схема специальной настройки Astra Linux Special Edition для полной поддержки Rutoken S?
К сожалению, перейти на Рутокен ЭЦП 2.0 не получается - приходится использовать Rutoken S в связи с его сертификатом под "особые" АС...