Установка и настройка¶
Важно
Перед началом работ необходимо произвести настройку окружения. Все команды данного раздела выполняются только от суперпользователя.
Режим суперпользователя:
sudo -i
Установка¶
Для Linux¶
Внимание
Имеется поддержка аутентификации пользователя с использованием смарт-карты. Подробнее тут.
Важно
Для корректной работы функционала перенаправления USB-устройств необходимо выполнить дополнительную настройку.
Важно
При переходе с версии клиента 2.6, 2.7 или 2.8 на версию 2.8.3, необходимо удалить каталог ${HOME}/.tionix-vdi-client с параметрами клиента, иначе возникнет проблема с запуском xfreerdp.
DEB-пакет¶
Подключите в системный каталог
/etc/apt/sources.listрепозиторий с DEB-пакетами:deb [trusted=yes] http://deb-repo.tionix.ru/stable tionix x.x
Где: x.x - номер необходимой версии клиента.
Подсказка
Для установки последней разрабатываемой версии модуля укажите репозиторий:
deb [trusted=yes] http://deb-repo.tionix.ru/release tionix-rc x.x
Где: x.x - номер необходимой версии клиента.
Обновите список репозиториев:
apt-get update
Установите модуль TIONIX.VDIclient:
apt install tionix-vdi-client
Для Windows¶
Перейдите по сcылкe в репозиторий с дистрибутивами клиента.
Выберите совместимую с операционной системой версию клиента:
Перечень дистрибутивов клиента
Перейдите в каталог с выбранной версией:
Перечень дистрибутивов клиента
Скачайте и запустите установочную программу
TIONIX.VDIclient.3.0.9x64.Setup.exe.В пригласительном окне мастера установки нажмите кнопку «Далее»:
Окно мастера установки
Укажите каталог для установки клиента и нажмите кнопку «Далее»:
Окно выбора директории для установки приложения
Ознакомьтесь с лицензионным соглашением и подтвердите согласие, поставив галочку в поле «Я согласен (а) с лицензией». Нажмите кнопку «Далее»:
Лицензионное соглашение
Подтвердите намерение установить программу, нажав кнопку «Установить»:
Окно подтверждения установки
В процессе установки предоставлена возможность отслеживать детали установки, для этого нажмите кнопку «Показать детали»:
Окно установки
По окончании установки в окне мастера установки нажмите кнопку «Завершить».:
Окно установки
После завершения установки клиент запустится автоматически.
Подсказка
Также существует возможность для скачивания последней разрабатываемой версии модуля по ссылке.
Для MacOS¶
Перейдите на страницу «Расположение пакетов модулей TIONIX» и выберите репозиторий с необходимой версией клиента.
Скачайте и смонтируйте (двойной клик по имени файла) DMG образ клиента.
Скопируйте смонтируемое приложение в папку «Программы»/«Applications» на свой жесткий диск:
Перемещение в «Программы»/«Applications»
После этого можно демонтировать виртуальный диск (нажав треугольник напротив имени диска) и удалить DMG файл.
Настройка¶
Настройка окружения на Alt Linux p9¶
Для корректного запуска приложения необходимо добавить пользователя системы в группу fuse:
usermod -a -G fuse user_name
Где: user_name - имя пользователя в системе.
После чего нужно полностью перезапустить систему.
Настройка окружения на Astra Linux Смоленск 1.6¶
По умолчанию мандатная система доступа не позволяет запускать приложения, запускаемые с файловой системы, смонтированных через FUSE. Чтобы это исправить, в параметры ядра нужно добавить опцию parsec.enable_exec_on_fuse=1. Откройте файл /etc/default/grub и добавьте этот параметр в содержимое следующей переменной:
GRUB_CMDLINE_LINUX_DEFAULT="... parsec.enable_exec_on_fuse=1"
Далее необходимо обновить конфигурацию загрузчика GRUB:
grub-mkconfig -o /boot/grub/grub.cfg
После чего нужно полностью перезапустить систему.
Настройка для работы перенаправления USB-устройств¶
Важно
Данная инструкция актуальна только для операционных систем Linux.
Для корректной работы функционала перенаправления USB-устройств по протоколу SPICE необходимо добавить пользователя виртуальной машины в Linux группу:
# CentOS, AlmaLinux
usermod -a -G plugdev username
# Alt Linux
usermod -a -G plugdev,fuse username
Где: username - имя пользователя виртуальной машины, к которой осуществляется подключение.
После добавления пользователя в группу plugdev необходимо выйти из графической сессии и снова в нее зайти.
Настройка для работы со смарт-картами¶
Авторизация по смарт-карте¶
Примечание
Работа со смарт-картой поддерживается только на операционных системах Linux.
Для того, чтобы модуль функционировал со смарт-картами, необходимо проделать следующие шаги:
Для низкоуровневой работы с картами установите пакет
opensc, а такжеpcsc-liteи его утилиты:yum install opensc yum install pcsc-lite
Загрузите и установите из репозитория последнюю версию EPEL:
rpm -Uvh epel-release*rpm
Установите пакет
pcsc-tools:yum install pcsc-tools
Смарт-карты работают через API PKCS11 и PC/SC. Первоначально установите необходимые зависимости:
yum install libpcsclite-dev yum install pyOpenSSL
Установите пакет
pykcs11для работы со смарт-картой через API PKCS11:pip install pykcs11
Установите
python-module-pyscardдля работы со смарт-картой через API PC/SC:yum install pyscard
Скачайте архив с библиотеками ESMART Token 4.2 (PKCS#11) для Linux. Его можно найти по сcылке.
После чего найдите в архиве файл
libisbc_pkcs11_main.soи укажите путь до файла в параметреPYKCS11LIBконфигурационного файла или задайте в качестве переменной окружения:export PYKCS11LIB="path to libisbc_pkcs11_main.so"
Для возможности работы со смарт-картой без прав суперпользователя выполните следующие команды:
sed -i "s/no/yes/" /usr/share/polkit-1/actions/org.debian.pcsc-lite.policy systemctl restart pcscd.socket
Для корректного отображения текста при перебросе графической среды X11 установите следующие пакеты:
yum install xorg-x11-fonts* yum install dejavu-lgc-sans-fonts
Перенаправление смарт-карты¶
Важно
Данный функционал носит экспериментальный характер и не обязателен для работы клиента. Также необходима дополнительная настройка гостевой ОС.
Примечание
Перенаправление смарт-карт поддерживается только по протоколу SPICE и операционных систем Linux.
Установка pcscd¶
Служба pcscd занимается поиском и регистрацией CCID-устройств.
Установите
ccidиpcscdвместе с утилитами для получения данных о смарт-карте:Alt Linux p9:
apt-get -y install pcsc-lite pcsc-lite-ccid pcsc-tools
Ubuntu (все версии):
apt -y install libccid pcscd pcsc-tools
CentOS 7.x:
yum -y install pcsc-lite pcsc-lite-ccid pcsc-tools
AlmaLinux 8.4 и CentOS 8 Stream:
dnf -y install pcsc-lite pcsc-lite-ccid pcsc-tools
После установки нужно убедиться, что служба
pcscdзапущена и работает:systemctl status pcscd
Пример вывода:
● pcscd.service - PC/SC Smart Card Daemon Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; vendor pres> Active: active (running) since Mon 2021-02-15 17:34:01 MSK; 6min ago Main PID: 1529 (pcscd) Tasks: 9 (limit: 24924) Memory: 5.3M CGroup: /system.slice/pcscd.service └─1529 /usr/sbin/pcscd --foreground --auto-exit Feb 15 17:34:01 localhost.localdomain systemd[1]: Started PC/SC Smart Card Daemon.Если это не так, то запустите его и явно пропишите в автозагрузку:
systemctl start pcscdsystemctl enable pcscd
С помощью команды
pcsc_scanполучите информацию о CCID-устройстве и проверьте наличие смарт-карты:user@localhost ~]$ pcsc_scan PC/SC device scanner V 1.4.25 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr> Compiled with PC/SC lite version: 1.8.8 Using reader plug'n play mechanism Scanning present readers... 0: Gemalto Gemplus USB SmartCard Reader 433-Swap [CCID Interface] (1-0000:00:1d.7-5) 00 00 1: Aktiv Rutoken ECP 01 00 Tue Feb 16 16:24:27 2021 Reader 0: Gemalto Gemplus USB SmartCard Reader 433-Swap [CCID Interface] (1-0000:00:1d.7-5) 00 00 Card state: Card removed, Reader 1: Aktiv Rutoken ECP 01 00 Card state: Card inserted, Shared Mode, ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1 ATR: 3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1 + TS = 3B --> Direct Convention + T0 = 8B, Y(1): 1000, K: 11 (historical bytes) TD(1) = 01 --> Y(i+1) = 0000, Protocol T = 1 ----- + Historical bytes: 52 75 74 6F 6B 65 6E 20 44 53 20 Category indicator byte: 52 (proprietary format) + TCK = C1 (correct checksum) Possibly identified card (using /home/user/.cache/smartcard_list.txt): 3B 8B 01 52 75 74 6F 6B 65 6E 20 44 53 20 C1 Aktiv Rutoken ECP https://www.rutoken.ru/products/all/rutoken-ecp/Если
pcsc_scanне выводит ничего, то убедитесь, что службаpcscdзапущена и не имеется никаких проблем в логе вывода службы в systemd.Примечание
Команда
pcsc_scanсама не завершает работу, её следует закрыть через комбинацию Ctrl+C.
Установка драйвера PKCS11¶
Драйвер PKCS11 как правило является файлом формата so, то есть является обычной библиотекой. Эту библиотеку необходимо предложить приложению, если необходим доступ к сохранённым в смарт-карту сертификатами.
Для Linux предлагается использовать пакеты типа RPM и DEB, но сами so внутри технически заработают везде.
Загрузите файл RPM из официального сайта:
wget https://download.rutoken.ru/Rutoken/PKCS11Lib/2.0.11.0/Linux/x64/librtpkcs11ecp-2.0.11.0-1.x86_64.rpm
Далее этот пакет необходимо установить через
rpm:rpm -ihv librtpkcs11ecp-2.0.11.0-1.x86_64.rpm
Пакет содержит один файл библиотеки и символическая ссылка к нему расположена по следующему пути:
/usr/lib64/librtpkcs11ecp.so -> /opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so
При работе с приложениями можно использовать как оригинальный файл в
/opt, так и ссылку вlib64.Проверьте доступность смарт-карты при помощи утилит проекта OpenSC. Установите соответствующий пакет:
yum -y install opensc
После этого станет доступной команда pkcs11-tool, которая может показать список доступных сертификатов в смарт-карте. Для этого достаточно указания библиотеки PKCS11:
pkcs11-tool --module /opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so -O Using slot 1 with a present token (0x1) Public Key Object; RSA 2048 bits label: test ID: 57306d4b43506457 Usage: encrypt, verify, wrap Certificate Object; type = X.509 cert label: TIONIX.EXAMPLE subject: DN: C=XX, L=Default City, O=Default Company Ltd ID: 6b344a394e683437
Как видим, в обозреваемой смарт-карте имеется публичный ключ и один сертификат. Данный вывод говорит о том, что смарт-карта успешно читается.