Pu1020 – база знаний – сервер документации рутокен
§
§
Ru1099 – база знаний – сервер документации рутокен
Ошибка “Недопустимые учетные данные” появляется при попытке подключения по RDP с компьютера под управлением Windows 10 или любой другой карты в домене к компьютеру без учетных данных Rootken. Учетные данные, используемые для доступа к этой странице с сайта xxX.xx, запрещены! Введите новые учетные данные, если появляется сообщение “Попытка входа не удалась.”.
§
§
Rv1001 – база знаний – сервер документации рутокен
Два варианта организации удаленной работы – это домашние компьютеры и корпоративные ноутбуки с установленным необходимым программным обеспечением. В первом сценарии сотрудники компании будут подключаться к сети для доступа к необходимым ресурсам. В первом сценарии будет установлено RDP- или VDI-подключение к корпоративному серверу.
.
.
При работе из дома защищенный зашифрованный канал между корпоративной сетью и рабочими компьютерами можно установить с помощью сервера виртуальной частной сети (VPN). Этот канал также позволяет проводить двухфакторную аутентификацию удаленных пользователей с помощью маркеров или смарт-карт.
.
§
§
Двухуровневый tls
При использовании RSA сертификатов для аутентификации пользователей я советую использовать обычный TLS при хранении клиентского ключа на Рутокен ЭЦП и использовании sTunnel. Передача информации внутри канала будет возможна, если канал TLS over RSA будет проходить через TTS.
При использовании двух схем может оказаться возможным использование двух схем. Первая TLS с RSA использует прямое взаимодействие с оператором. В этом случае на токене хранятся ключи GOST (аутентификация с осознанием личности, для аутентификации на сервере sTunnel) и RSA.
Программная реализация RSA (включена в дистрибутив драйвера Rootken) используется в Windows для доступа к ключу/сертификату RSA, хранящемуся на ЭЦП Rootken, и аппаратной реализации кодов RSA.
Сам sTunnel обеспечивает TLS по RSA и ГОСТ по первой схеме. Однако я должен предупредить вас, что я не пробовал вторую схему.
Для доступа к ключу RSA и бортовой аппаратной реализации RSA ЭЦП Рутокен используется движок pkcs11 проекта OpenSC.
Существует два отображения для разделов входа и выхода из конфигурации клиента sTunnel:
[RDP-TLS-GOST]
engineNum=1
key=100
cert=client_gost.crt
accept = 127.0.0.1:8088
connect = x.x.x.x:1494
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 1
[RDP-TLS-RSA]
engineNum=2
key=101
cert=client_rsa.crt
accept = 127.0.0.1:8087
connect = 127.0.0.1:8088
TIMEOUTclose = 1
Кроме того, клиент RDP должен получить доступ к 127.0.0.1:8087
Защита по гостам
На рисунке показана принципиальная схема.