Проблема

Возможная причина

Способы решения

Ошибка при запуске скрипта установки install.sh «error obtaining MAC configuration for user «aeca»»

У пользователя

postgres нет прав на чтение БД атрибутов конфиденциальности

Для предоставление дополнительных прав пользователю postgres выполните команды:

sudo usermod -a -G shadow postgres
 
sudo setfacl -d -m u:postgres:r /etc/parsec/macdb
 
sudo setfacl -R -m u:postgres:r /etc/parsec/macdb
 
sudo setfacl -m u:postgres:rx /etc/parsec/macdb


Заблокированы кнопки выпуска сертификатов

Истёк срок действия лицензии или исчерпан лимит доступных для выпуска сертификатов

Проверьте в окне «О программе» срок действия лицензии и количество доступных для выпуска сертификатов (см. п. 3.1)

Прекращение установки ПО или обновление АеСА

1. Нехватка аппаратных ресурсов

Произведите оценку ресурса вашего ПК в соответствии с требованием к аппаратным ресурсам, указанным в первой части Руководства администратора

2. Не корректная установка или отсутствие программного компонента, указанного в требовании

Проверьте наличие установленного ПО согласно разделу 3 Руководство администратора RU.АЛДЕ.03-01.020-01 32.


Также проверьте и при необходимости переключите текущую версию java-компонентов, выполнив команды:

sudo update-alternatives --config java
 
sudo update-alternatives --config javaс
 
sudo update-alternatives --config javap

Нет подключения к ресурсной системе

1. Включен протокол TLS

Измените настройку конфигурационного файла контроллера домена /etc/samba/smb.conf, добавив в раздел [global]:

ldap server require strong auth = no

2. Проверить подключение к контроллеру домена Samba

Проверьте подключение к контроллеру домена, используя инструмент ldapsearch:

- получение списка пользователей

ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC=local" -H "ldap://192.168.111.148" "(objectCategory=user)"

- получение списка компьютеров

ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC=local" -H "ldap://192.168.111.148" "(objectCategory=computer)"

- получение списка групп безопасности

ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC= pki-test " -H "ldap://192.168.111.148" "(objectCategory=group)"

где:

Administrator@pki-test.local – имя администратора домена;

Qwerty1234 – пароль администратора домена;

pki-test, pki-test – доменное имя;

192.168.111.148 – ip-адрес контроллера домена.

В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap-сервером и он отвечает на запросы.

3. Проверить подключение к контроллеру домена ALD PRO

Проверьте подключение к контроллеру домена, используя инструмент ldapsearch:

- получение списка пользователей

ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=x-ald-user)"

- получение списка компьютеров

ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=nshost)"

- получение списка групп безопасности

ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=ipausergroup)"

где:

admin – имя администратора домена;

users, accounts

Qwerty1234 – пароль администратора домена;

domain, local – доменное имя;

192.168.111.148 – ip-адрес контроллера домена.

В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap-сервером и он отвечает на запросы.

Вход в интерфейс eCA-VA с выпущенным сертификатом невозможен в браузере Chromium

Браузер Chromium не поддерживает сертификаты с алгоритмом шифрования ECDSA512

Использовать другой браузер

Вход в интерфейс eCA-VA невозможен в браузере Firefox.

Ошибка SEC_ERROR_BAD_SIGNATURE

Проблема возникает при наличии в хранилище сертификатов ОС сертификата ЦС с аналогичным SDN издателю сертификата веб-сервера.


Она связана с алгоритмом проверки сертификата веб-сервера браузером Firefox для решения уязвимости, связанной с подлогом серверного сертификата:

1. Firefox получает сертификат веб-сервера от сервера

2. После этого выполняет поиск в хранилище сертификатов ОС сертификата ЦС по SDN издателя сертификата

3. И далее выполняет проверку цепочки по открытым ключам

1. Проверьте состав сертификатов доверенных ЦС в хранилище ОС

2. В случае несоответствия установите сертификат издателя сертификата веб-сервера

Невозможно подключиться к токену для выпуска сертификата после установки JC-WebClient. Сообщение

 «ПО JCWebClient не установлено»

Требуется разрешить ПО JC-WebClient доступ к ресурсу

1. В адресную строку браузера введите:

https://localhost:24738/admin/token_manager.html

2. Во всплывающем окне предупреждения браузера подтвердите действия.

Пустой файл шаблонов по завершению работы скрипта mscs2aeca.ps1экспорта шаблонов MSCS

Требуется настройка tls

- Откройте Powershell от имени администратора и задайте версию протокола безопасности, выполнив команду:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Периодическая остановка или падение службы aecava.service

Недостаток оперативной памяти

1. Проверьте потребление оперативной памяти на хосте с помощью команды top:

- в MiB Mem значение total – это общий объем оперативной памяти;

- в MiB Mem значение free – это свободная оперативная память;

- в строке таблицы USER=aeca значение в колонке RES – это потребляемая ЦВ оперативная память.

Для корректной работы ЦВ сумма free и RES должна быть не менее 8 Гб (см. 2.2).

2. Если полученное значение меньше 8 Гб, то при исчерпании свободной оперативной памяти oom-killer останавливает ЦВ.

В данном случае рекомендуется проанализировать состав стороннего ПО на хосте и его потребление памяти, например, с помощью команд top или htop.

3. После этого следует либо добавить необходимое количество оперативной памяти, либо удалить с хоста стороннее ПО, освободив этим оперативную память.

В итоге для ЦВ должно быть доступно не менее 8 Гб оперативной памяти (см. 2.2).

Периодически на ЦВ статус сервиса OCSP – «Ошибка CRL»

Остановка воркера, который запускает проверку CRL

Выполнить перезапуск службы aecava.service.


Для настройки автоматического перезапуска службы aecava.service с помощью создания cron-задачи следует выполнить следующие шаги:

1. Создать скрипт restart_service.sh, содержащий исходный код из п. 5.1, Приложение 5. Скрипты настройки перезапуска eCA-VA по расписанию;

2. При необходимости изменить расписание перезапуска службы aecava.service, изменив в скрипте значение параметра CRON_SCHEDULE (по умолчанию установлена ежедневная перезагрузка в 00:00);

3. Запустить созданный скрипт:

sudo bash restart_service.sh

Для удаления созданной cron-задачи следует выполнить следующие шаги:

1. Создать скрипт uninstal-cron-restart.sh, содержащий исходный код из п. 5.2, Приложение 5. Скрипты настройки перезапуска eCA-VA по расписанию;

2. Запустить созданный скрипт:

sudo bash uninstal-cron-restart.sh