Автор Тема: Под доменным пользователем Rutoken Lite не доступен  (Прочитано 24129 раз)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Андрей Черепанов (cas@)

Оффлайн RomeoVar

  • Давно тут
  • **
  • Сообщений: 32
создал тему на криптопро. Очень нужно получить решение данной проблемы.
https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=103893#post103893

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
создал тему на криптопро. Очень нужно получить решение данной проблемы.
https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=103893#post103893
только вы по-видимому не в том разделе тему создали. У них там есть специально про "Linux, Solaris etc.".

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
создал тему на криптопро. Очень нужно получить решение данной проблемы.
https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=103893#post103893
хм... они намекают на что-то типа https://bugzilla.redhat.com/show_bug.cgi?id=988068

Оффлайн RomeoVar

  • Давно тут
  • **
  • Сообщений: 32
Вот собсно суть проблемы
Цитировать
Проблема в том, что uid вашего пользователя превышает 65535. Но провайдер в KC1 должен работать. Мы подумаем, как это поправить и в KC2.
Вобщем переставлю одну либу и все должно заработать

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Вот собсно суть проблемы
Цитировать
Проблема в том, что uid вашего пользователя превышает 65535. Но провайдер в KC1 должен работать. Мы подумаем, как это поправить и в KC2.
Вобщем переставлю одну либу и все должно заработать
возможно что придется снести все пакеты cryptopro и поставить заново.

Оффлайн RomeoVar

  • Давно тут
  • **
  • Сообщений: 32
Вобщем у меня затык, я не знаю где искать помощь.
Вот ссылка на тему на форуме  cryptopro: https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=16259
Вкратце ситуация такая - я попрыгал с бубном. Поудалял, подоставлял библиотеки - в частности мне рекомендовали удалить библиотеку kc2 или переустановить криптопро без библиотеки kc2
Я все эти манипуляции проделал
Под доменным пользователем ключа я так и не увидел.
По рекомендации повысил уровень журналирования
/opt/cprocsp/sbin/amd64/cpconfig -loglevel libcspr -mask 0x3f
И запустил под доменным пользователем команду на прочтение всех токенов в системе
Цитировать
csptest -card -enum -v -v
Результат:
Цитировать
[lintest@pcl0001 ~]$ csptest -card -enum -v -v
ERROR: SCardEstablishContext()
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,040 sec
[ErrorCode: 0x80100013]
Т.е. выдало ошибку
В логах видно следующее:
Цитировать
июн 25 14:36:58 pcl0001 systemd[1]: Started PC/SC Smart Card Daemon.
июн 25 14:36:58 pcl0001 pcscd[27595]: 00000000 auth.c:137:IsClientAuthorized() Process 27594 (user: 712819099) is NOT authorized for action: access_pcsc
июн 25 14:36:58 pcscd[27595]: 00000337 winscard_svc.c:335:ContextThread() Rejected unauthorized PC/SC client
июн 25 14:37:41 pcl0001 pcscd[27595]: 42625587 auth.c:137:IsClientAuthorized() Process 27777 (user: 712819099) is NOT authorized for action: access_pcsc
июн 25 14:37:41 pcl0001 pcscd[27595]: 00000086 winscard_svc.c:335:ContextThread() Rejected unauthorized PC/SC client

Запустил через strace, логи во вложении
В логах обратил внимание на строки 293 - 297
Написал на форуме криптопро

Цитировать
Еще точнее: в 275 строке под локальным пользователем происходит чтение: read(4, "\4\0\0\0\3\0\0\0\0\0\0\0", 12) = 12. Возвращается значение = 12
В 275 строке лога под доменным пользователем происходит чтение: read(4, 0x7fffef1b40e0, 12) = -1 ECONNRESET (Соединение разорвано другой стороной). Возвращается ошибка.
Но передаваемые данные в первом и втором случаях разные. Под локальным пользователем это строковое значение (предполагаю по кавычкам), а под доменным - числовое (HEX)
Почему это происходит? Что это за переменные?

И в ответ получаю:
Цитировать
Это взаимодействие libpcsclite с демоном pcsc. Примерный код взаимодействия в аттаче.  list_pcsc.txt (8kb) загружен 3 раз(а). Никакого КриптоПро в нём нет.

Теперь я в раздумиях. Кто мне поможет?
Домен pcsc не входит в ПО Криптопро?
Помогите мне пожалуйста


Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Рекомендую все таки снести все пакеты имеющие отношение к Cryptopro и условно говоря поставить всё заново. У них как-то кривой метод формирования конфигурационных файлов и даже обновление версии нормально не работает.

А pcsc это да, входит в состав Alt.
Что говорит systemctl status pcscd

Оффлайн NickM

  • Завсегдатай
  • *
  • Сообщений: 896
ИМХО,
либо разбираться с UID_MAX для доменных пользователей, с форума КриптоПРО:
Цитировать
Проблема в том, что uid вашего пользователя превышает 65535

либо смотреть polkit для "PC/SC Smart Card Daemon" если таковой имеется, здесь как-то вопрос поднимался

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Помню, pcscd работал с пользователями в группе xgrp. Что выдаёт команда groups?
Андрей Черепанов (cas@)

Оффлайн RomeoVar

  • Давно тут
  • **
  • Сообщений: 32
Помню, pcscd работал с пользователями в группе xgrp. Что выдаёт команда groups?
Есть он в этой группе
[user@pcl0001 Рабочий стол]$ groups user
user : user wheel uucp proc cdrom floppy cdwriter audio radio users scanner xgrp vboxusers camera video vmusers hashman user_a user_b пользователи домена telephony_r удалённый рабочий стол fuse
[user@pcl0001 Рабочий стол]$ groups lintest
lintest : пользователи домена users практиканты it telephony_r fuse scanner audio radio camera video cdrom floppy cdwriter xgrp uucp vmusers proc vboxusers
[user@pcl0001 Рабочий стол]$