Общие сведения
Веб‑интерфейс представляется собой графический интерфейс в виде совокупности динамических веб‑страниц, отображаемых в веб‑браузере. Веб‑интерфейс реализован клиентским компонентом Центра регистрации Aladdin eRA и предназначен для управления серверным компонентом Центра регистрации Aladdin eRA (выполнения доступных пользователю в рамках его полномочий действий).
Подключение к веб‑интерфейсу Центра регистрации Aladdin eRA выполняется из веб‑браузера удаленно по сети передачи данных с выделенного компьютера, на котором развернута среда функционирования, удовлетворяющая требованиям раздела 2.1.2.
Канал управления является защищенным — организован по протоколу HTTPS/TLS с двусторонней аутентификацией и шифрованием передаваемых данных. Идентификация и аутентификация пользователей выполняется по предъявленному сертификату, который должен быть предварительно установлен в хранилище веб‑браузера или хранилище сертификатов используемой ОС. Пример установки сертификата администратора из контейнера закрытого ключа PKCS#12 приведен в разделе 6.2.
При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента Центра регистрации Aladdin eRA должен быть организован по протоколу TLS ГОСТ с использованием отечественных криптографических алгоритмов.
Для этого на компьютере, предназначенном для подключения к веб‑интерфейсу, должны быть выполнены следующие действия:
- Установлен криптопровайдер СКЗИ «КриптоПро CSP» в соответствии с инструкцией, описанной в разделе 2 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
- Установлена клиентская лицензия СКЗИ «КриптоПро CSP», дающая право использовать двустороннюю аутентификацию по протоколу TLS. Порядок установки лицензии описан в разделе 4 документа «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101‑03 91 03.
- Сертификат учетной записи администратора для взаимодействия с Центром сертификации Aladdin eCA из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, должен быть установлен в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP». Порядок установки сертификата из контейнера закрытого ключа приведен в разделе 2.6.5 документа «СКЗИ «КриптоПро CSP». Инструкция по использованию графического приложения Инструменты КриптоПро (cptools)» ЖТЯИ.00101‑03 92 06.
- Установлен веб‑браузер Chromium с поддержкой TLS ГОСТ из состава используемой сертифицированной ОС. Данный веб‑браузер входит в состав базовых репозиториев ОС Astra Linux SE, Альт Сервер и РЕД ОС.
Установка сертификата администратора
Для первичной настройки программного комплекса необходимо установить сертификат учётной записи администратора Центра сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, в доверенное хранилище сертификатов веб‑браузера[1].
Процесс установки сертификата рассмотрим на примере браузера Firefox:
- Откройте браузер Firefox / Настройки / Приватность и Защита / Сертификаты (см. Рисунок 1). Нажмите кнопку <Просмотр сертификатов>.
Рисунок 1 – Окно настроек браузера
- Выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать> (см. Рисунок 2).
Рисунок 2 – Окно управления сертификатами
- Выберите предварительно подготовленный файл сертификата, подписанный Центром сертификации Aladdin eCA, который будет принимать обработанные Центром регистрации запросы на сертификаты доступа и находящийся в списке разрешённых Издателей. Нажмите кнопку <Открыть> (см. Рисунок 3).
Рисунок 3 – Окно выбора импортируемого файла сертификата
- Введите PIN‑код сертификата доступа в открывшемся окне и нажмите кнопку <OK> (см. Рисунок 4).
Рисунок 4 – Окно ввода PIN‑кода сертификата
PIN‑код сертификата устанавливается администратором Центра сертификации Aladdin eCA при выпуске сертификата доступа.
- В таблице окна «Управление сертификатами» появится запись об импортированном сертификате (см. Рисунок 5). Нажать кнопку <ОК>.
Рисунок 5 – Окно «Управление сертификатами»
[1] Сертификат администратора из контейнера закрытого ключа PKCS#12, выпущенного с использованием алгоритмов ГОСТ, устанавливается в личное хранилище пользователя с помощью утилиты cptools из состава СКЗИ «КриптоПро CSP».
Подключение к веб-интерфейсу
Порядок подключения к веб‑интерфейсу:
- Запустите веб‑браузер и в адресной строке введите IP‑адрес или доменное имя компьютера, на котором установлен Центр регистрации Aladdin eRA (например, https://172.22.5.21).
- В открывшемся окне выберите сертификат администратора (см. Рисунок 6) и нажмите кнопку <ОК>.
Рисунок 6 – Выбор сертификата для установки двустороннего TLS‑соединения
При этом выбранный сертификат в дальнейшем будет использован для аутентификации, если пользователь выберет способ аутентификации с помощью сертификата. Если пользователь откажется от выбора сертификата, то будет установлено одностороннее TLS‑соединение.
- На открывшейся странице с предупреждением системы безопасности (см. Рисунок 7) нажмите кнопку <Дополнительно>, примите риск и продолжите подключение.
Рисунок 7 – Страница с предупреждением системы безопасности
После установки TLS‑соединения для неаутентифицированного пользователя отображается окно авторизации (см. Рисунок 8).
Рисунок 8 – Окно авторизации
Центр регистрации Aladdin eRA поддерживает следующие способы аутентификации:
- С использованием сертификата (см. раздел 6.4).
- С использованием Kerberos‑билета (см. раздел 6.6);
- По логину и паролю (см. раздел 6.5).
Аутентификация с использованием сертификата
Пользователи Центра регистрации Aladdin eRA могут аутентифицироваться в Центре регистрации Aladdin eRA по своим сертификатам доступа. При этом роль учётной записи в Центр регистрации Aladdin eRA соответствует роли в Центре сертификации Aladdin eCA (администратор или оператор).
Для аутентификации по сертификату следует выполнить следующие шаги:
- Откройте пользовательский интерфейс Центра регистрации Aladdin eR
- В появившемся окне «Выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6) выберите установленный ранее сертификат учётной записи. Нажмите кнопку <OK> для подтверждения.
- В появившемся окне авторизации Центра регистрации Aladdin eCA (см. Рисунок 8) нажмите на кнопку <Сертификат>.
В результате будет выполнена аутентификация по сертификату. В ходе аутентификации по сертификату могут возникать следующие ошибки (Таблица 8):
Таблица 8 – Типовые ошибки при аутентификации по сертификату
Ошибка | Описание |
|---|---|
«Невозможно выполнить авторизацию с использованием сертификата. Сертификат не привязан к пользователю» | Учётная запись не найдена для данного сертификата |
«Аккаунт заблокирован» | Учётная запись заблокирована |
«Невозможно выполнить авторизацию с использованием сертификата, находящегося в данном состоянии» | Сертификат не является действующим (истек, приостановлен или отозван) |
«Ошибка проверки издателя» | Сертификат был выпущен Центром сертификации Aladdin eCA, не входящим в список разрешённых издателей сертификатов доступа, к которому подключён Центр регистрации Aladdin eRA |
«Достигнуто предельное число сессий аккаунта» | Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи (параметр session_max_count в конфигурационном файле) |
Аутентификация по логину и паролю
Для аутентификации с помощью логина и пароля, предварительно нужно зарегистрировать в Центре сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, ресурсную систему, содержащую субъект, под которым будет проходить аутентификация, в соответствии с инструкцией в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 2. Функции управления Центра сертификации Aladdin Enterprise Certification Authority».
Доменные учётные записи[1] могут аутентифицироваться в Центре регистрации Aladdin eRA по комбинации доменного имени и пароля. Информация о домене отображена в окне авторизации в поле «Домен».
Для аутентификации по комбинации доменного имени и пароля следует выполнить следующие шаги:
- Откройте пользовательский интерфейс Центра регистрации Aladdin eR
Пропустите шаг с выбором сертификата в появившемся окне «выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6).
- В появившемся окне авторизации Центра регистрации Aladdin eRA (см. Рисунок 8) введите доменное имя, пароль и нажмите на кнопку <Войти>.
- При успешной доменной аутентификации по введённому доменному имени и паролю, пользователю будет предоставлен доступ к Центру регистрации Aladdin eR
Если у пользователя отсутствовала[2] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».
При аутентификации по доменному имени и паролю могут возникать следующие ошибки (Таблица 9).
Таблица 9 – Типовые ошибки при аутентификации по доменному имени и паролю
Ошибка | Описание |
|---|---|
«Аккаунт заблокирован» | Доменная учётная запись или учётная запись в программе заблокирована |
«Достигнуто предельное число сессий аккаунта» | Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в Центре регистрации Aladdin eRA. (Параметр session_max_count в файле /opt/aecaRa/scripts/config.sh) |
[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA (адрес сервера AD задан в параметре kerberos_ad_server в файле /opt/aecaRa/scripts/config.sh)
[2] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных.
Аутентификация с использованием Kerberos-билета
Для аутентификации с использованием Kerberos‑билета, предварительно нужно зарегистрировать в Центре сертификации Aladdin eCA, к которому подключён Центр регистрации Aladdin eRA, ресурсную систему, содержащую субъект, под которым будет проходить аутентификация, в соответствии с инструкцией в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 2. Функции управления Центра сертификации Aladdin Enterprise Certification Authority».
Доменные учётные записи[1] могут аутентифицироваться в Центре регистрации Aladdin eRA по Kerberos‑билету. Информация о домене отображена в окне авторизации в поле «Домен».
Предварительно на клиенте должен быть настроен браузер для работы с Kerberos[2], а также должен быть получен Kerberos‑биллет.
Для аутентификации по Kerberos‑билету следует выполнить следующие шаги:
- Откройте пользовательский интерфейс Центра регистрации Aladdin eR
Пропустите шаг с выбором сертификата в появившемся окне «выбора сертификата для установки двустороннего TLS‑соединения» (см. Рисунок 6).
- В появившемся окне авторизации Центра регистрации Aladdin eRA (см. Рисунок 8) нажмите на кнопку «Kerberos».
- При успешной доменной аутентификации по введённому доменному имени и паролю, пользователю будет предоставлен доступ к Центру регистрации.
Если у пользователя отсутствовала[3] учётная запись в Центре регистрации Aladdin eRA, то она будет автоматически создана с ролью «Получатель сертификатов».
При аутентификации по Kerberos‑билету могут возникать следующие ошибки (Таблица 10).
Таблица 10 – Типовые ошибки при аутентификации по Kerberos‑билету
Ошибка | Описание |
«Full authentication is required to access this resource» | Браузер не был настроен для аутентификации по Kerberos‑билету – необходимо выполнить инструкцию по настройке браузера[4] |
«Срок действия Kerberos‑билета истек» | Срок действия Kerberos‑билета истек – необходимо получить новый билет с помощью команды kinit |
«Аккаунт заблокирован» | Доменная учётная запись или учётная запись в программе заблокирована |
«Достигнуто предельное число сессий аккаунта» | Выполнение пользователем аутентификации при уже достигнутом предельном количестве сессий для его учётной записи в программе. (Параметр session_max_count в файле /opt/aecaRa/scripts/config.sh) |
[1] Учётные записи, находящиеся в домене, к которому подключён Центр регистрации Aladdin eCA (адрес сервера AD задан в параметре kerberos_ad_server в файле /opt/aecaRa/scripts/config.sh)
[2] Инструкцию по настройке Kerberos-аутентификации в браузерах см. в «Настройка Kerberos в веб-браузере»
[3] Проверка связи осуществляется путём сравнения идентификатора учётной записи в домене с идентификаторами учётных записей в базе данных.
[4] Инструкцию по настройке Kerberos-аутентификации в браузерах см. в «Настройка Kerberos в веб-браузере»
Выход из программы
Выход из программы доступен для аутентифицированных пользователей. Для выхода следует выполнить следующие шаги:
- На верхней панели (см. Рисунок 9) веб‑интерфейса Центра регистрации нажмите на имя учётной записи пользователя.
- В появившемся меню нажмите на кнопку <Выйти>.
После этого будет произведен выход и отобразится окно авторизации Центра регистрации Aladdin eRA (см. Рисунок 8).
Если выход был выполнен после аутентификации по сертификату, то для входа по другому сертификату необходимо перезагрузить веб‑браузер.







